php 安全经验,这对PHP中的用户输入是否足够安全

最新推荐文章于 2024-05-03 21:20:08 发布
最新推荐文章于 2024-05-03 21:20:08 发布
阅读量103 收藏
点赞数
文章标签: php 安全经验

在阅读了PHP安全性之后,我觉得我编码的任何东西都是不安全的.因此,为了解决用户输入的安全问题,我创建了一个函数,允许我在任何使用情况下转义并删除用户输入.

我想知道这实际上是否安全,如果我能使它更安全.这会阻止什么样的攻击?从我可以通过使用_GET告诉XSS,HTML输入和MYSQL注入将被阻止?

function _INPUT($name,$tag,$sql,$url)

{

if ($_SERVER['REQUEST_METHOD'] == 'GET')

$filter = ($_GET[$name]);//Assign GET to filter variable

if ($tag == true)//Remove all HTML, PHP and JAVASCRIPT tags

{

$filter = strip_tags($filter);

}

if ($sql == true)//If MYSQL escaping is enabled

{

$filter = mysql_real_escape_string($filter);

}

if ($url == true)//If URL encoding is enabled

{

$filter = urlencode($filter);

}

return $filter;

}

$output = _INPUT('name',true,true,true);

我也将使用MYSQL的预处理语句,虽然我需要更多地阅读它们以完全理解它如何防止注入.

感谢您的时间.

悠悠瑟瑟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
004-WEB之PHP参数安全特性(register_globals的安全特性)
fiveseven的博客
08-23 241
004-WEB之PHP参数安全特性(register_globals的安全特性)
php input 漏洞,php://input,php://filter,data URI schema的那些事
weixin_36400833的博客
03-11 1696
一、php://input一句话木马在调研dedecms的历史漏洞时,发现了dedecms安装文件曾经出过被植入后门的漏洞(SSV-ID站点include目录下shopcar.class.php文件被植入一句话木马)@eval(file_get_contents('php://input'))我是个十足的php菜鸟,只有用到的时候才会去查查语法书,对php://input也只是有点印象而已,于是用...
php htmlspecial 安全,php输入安全性处理函数trim、stripslashes、htmlspecialchars
weixin_31133021的博客
04-09 215
PHP 验证表单数据,通过 PHP 的 htmlspecialchars() 函数传递所有变量。在我们使用 htmlspecialchars() 函数后,如果用户试图在文本字段提交以下内容:location.href('http://www.moneyslow.com')- 代码不会执行,因为会被保存为转义代码,就像这样:location.href('http://www.moneyslow.c...
php 防止注入 xss,PHP 安全输入输出方式 「防止 XSS 注入」
weixin_35990581的博客
03-11 309
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。我在开发使用严进严出的安全保障方式:保证安全输入(严进)添加间件,对所有参数进行过滤转换:htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体strip_tags() 函数剥去字符串的 HTML、XML 以及 PHP 的标签class...
php输入验证安全漏洞,phpmyfamily多个输入验证漏洞
weixin_39640262的博客
03-17 176
phpmyfamily多个输入验证漏洞发布日期:2010-09-17更新日期:2010-09-19受影响系统:phpmyfamily phpmyfamily 1.4.2描述:--------------------------------------------------------------------------------BUGTRAQ ID: 43293phpmyfamily是一个动...
PHP散列密码的安全性分析
10-16
PHP,常见的散列函数包括MD5和SHA1,但这些函数已经不再被视为足够安全,因为它们容易受到彩虹表攻击。 彩虹表是一种预先计算好的哈希值与原始字符串的映射表,攻击者可以通过它快速查找哈希值对应的可能原始...
2024年网络安全最新ctf常见php特性_php特性 ctf
最新发布
m0_54903333的博客
05-03 890
在这个例子,如果攻击者将恶意的PHP代码作为评论提交,如,它会被存储到数据库,并在评论显示时执行。这种远程代码执行漏洞可能导致攻击者获得应用程序的控制权,执行任意的系统命令,访问敏感数据等。24. ## 六、PHP类型强制转换:通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。25. PHP类型强制转换是指通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。
针对PHP开发安全问题的相关总结
10-17
为了防止此类攻击,需要使用参数化查询或者对用户输入的特殊字符进行转义处理。在本例,使用了mysql_real_escape_string函数来转义变量的特殊字符,这是防止SQL注入的有效手段之一。另外,随着PHP的发展,建议...
php安全配置记录和常见错误梳理(总结)
10-20
PHP的环境,确保系统安全是非常重要的,尤其是对于那些处理敏感数据或用户输入的应用程序。本文将对PHP安全配置的一些关键点进行详细说明,并总结一些常见的配置错误。 首先,`register_globals`是一个早期PHP...
基于PHP的女性安全期查询源码.zip
10-15
在这个女性安全期查询应用PHP可能负责处理用户输入,与数据库交互,存储和检索周期数据,以及执行计算周期的算法。 【压缩包子文件的文件名称列表】提供的唯一文件名"132687292265773943"没有提供足够的信息来...
渗透学习之PHP--安全配置与PHP
qq_62886656的博客
10-04 1010
渗透学习之PHP--安全配置与PHP
PHP 安全:过滤、验证和转义
一夜长风的专栏
09-02 7719
PS:来自http://laravelacademy.org/post/4610.html 我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源的数据。例如以下这些外部源: $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据
CTFHub技能书解题笔记-RCE-php://input
qq_43006864的博客
02-23 1591
打开题目 很熟悉的源代码界面。 简单的审计一下。 这里提到了php:// 然后if这段代码的意思是file里的前六个字符必须要等于php://(===表示强制等于) 这里回到题目,题目是php://input ,这里引入知识点: php://input可以读取没有处理过的POST数据。相较于$HTTP_RAW_POST_DATA而言,它给内存带来的压力较小,并且不需要特殊的php.ini设置。php://input不能用于enctype=multipart/form-data 大家..
php://filter(文件包含漏洞利用)及php://input
Sea_Sand息禅
11-17 5852
1. php://filter 文件包含漏洞:https://blog.csdn.net/fageweiketang/article/details/80699051 筛选过滤应用: 1、 字符串过滤器: string.rot13 对字符串执行ROT13转换 string.toupper转换为大写 string.tolower 转换为小写 string.strip_tags去除...
PHP安全过滤用户输入
捉虫大师
05-21 1550
/** * 安全过滤函数 * */ function public_safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27','',$string); $string = str_rep
PHP安全
tiansan的博客
08-08 793
PHP安全 一、SQL注入攻击(SQL Injection)     攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击,主要原因是由于请求参数没有过滤。       SQL注入是怎么产生的? 1)WEB开发人员无法...
PHP篇之php://input理解
why is this
10-13 884
PHP输入php://input 在使用xml-rpc的时候,server端获取client数据,主要是通过php输入流input,而不是$_POST数组。所以,这里主要探讨php输入php://input 对于php://input介绍,PHP官方手册文档有一段话对它进行了很明确地概述: “php://input allows you to read raw POST data.
php://input
beichuang的博客
09-06 2193
定义: php://input 是个可以访问请求的原始数据的只读流。当请求方式是post,并且Content-Type不等于”multipart/form-data”时,可以使用php://input来获取原始请求的数据。 使用方法: $data = file_get_contents("php://input"); 与$_POST 有什么区别?         $_POST:  Conte...
php输入框怎么过滤%号,PHP安全编程:过滤用户输入
weixin_42514537的博客
03-10 165
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。我所指的过滤输入是指三个不同的步骤:识别输入过滤输入区分已过滤及被污染数据把识别输入作为第一步是因为如果你不知道它是什么,你也就不能正确地过滤它。输入是指所有源自外部的数据。例如,...
PHP安全编程指南:理解与实践
因此,使用预处理语句和参数绑定,以及对用户输入进行严格的过滤和校验是必要的安全措施。 另外,跨站脚本(XSS)攻击也是一个常见问题。攻击者可能会通过注入恶意脚本,影响其他用户的浏览器,窃取登录凭据或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值