php表单提交防注入,php表单提交数据的验证处理(防SQL注入和XSS攻击等)

最新推荐文章于 2024-04-27 16:20:14 发布
最新推荐文章于 2024-04-27 16:20:14 发布
阅读量182 收藏
点赞数
文章标签: php表单提交防注入

代码实例:

<?php $user_name = strim($_REQUEST['user_name']); function strim($str) { //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 //预定义的字符是: // & (和号)成为 & // " (双引号)成为 " // ' (单引号)成为 ' // < (小于)成为 < // > (大于)成为 > //转换为HTML实体后,在网页显示时HTML元素直接显示,不在解释为HTML标签效果 return quotes(htmlspecialchars(trim($str))); } function quotes($content) { //if $content is an array if (is_array($content)) { foreach ($content as $key=>$value) { $content[$key] = mysql_real_escape_string($value); } } else { //if $content is not an array $content=mysql_real_escape_string($content); } return $content; } ?>

防sql注入:

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

\x00

\n

\r

\

\x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)

参数 描述

string 必需。规定要转义的字符串。

connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

对于纯数字或数字型字符串的校验可以用

is_numeric()检测变量是否为数字或数字字符串

实例:

function get_numeric($val) {

if (is_numeric($val)) {

return $val + 0;

}

return 0;

}

?>

is_array — 检测变量是否是数组

bool is_array ( mixed $var )

如果 var 是 array,则返回 TRUE,否则返回 FALSE。

is_dir 判断给定文件名是否是一个目录

bool is_dir ( string $filename )

判断给定文件名是否是一个目录。

如果文件名存在,并且是个目录,返回 TRUE,否则返回FALSE。

is_file — 判断给定文件名是否为一个正常的文件

bool is_file ( string $filename )

判断给定文件名是否为一个正常的文件。

如果文件存在且为正常的文件则返回 TRUE,否则返回 FALSE。

Note: 因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型,对 2GB 以上的文件,一些文件系统函数可能返回无法预期的结果 。

is_bool — 检测变量是否是布尔型

bool is_bool ( mixed $var )如果 var 是 boolean 则返回 TRUE。

is_string — 检测变量是否是字符串

bool is_string ( mixed $var )

如果 var 是 string 则返回 TRUE,否则返回 FALSE。

is_int — 检测变量是否是整数

bool is_int ( mixed $var )

如果 var 是 integer 则返回 TRUE,否则返回 FALSE。

Note:

若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

is_float — 检测变量是否是浮点型

bool is_float ( mixed $var )

如果 var 是 float 则返回 TRUE,否则返回 FALSE。

Note:

若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

is_null — 检测变量是否为 NULL

bool is_null ( mixed $var )

如果 var 是 null 则返回 TRUE,否则返回 FALSE。

is_readable — 判断给定文件名是否可读

bool is_readable ( string $filename )判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE,否则返回 FALSE。

is_writable — 判断给定的文件名是否可写

bool is_writable ( string $filename )

如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。

file_exists — 检查文件或目录是否存在

bool file_exists ( string $filename )

检查文件或目录是否存在。

在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。

如果由 filename 指定的文件或目录存在则返回 TRUE,否则返回 FALSE。

is_executable — 判断给定文件名是否可执行 bool is_executable ( string $filename )判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE,错误时返回FALSE。

我甜死了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现表单提交数据验证处理功能【SQL注入XSS攻击等】
10-19
PHP编程中,确保表单提交数据的安全性至关重要,因为不正确的处理可能导致SQL注入和XSS(跨站脚本)攻击。SQL注入允许攻击者通过输入恶意SQL代码来操纵数据库,而XSS攻击则可能窃取用户数据或执行恶意脚本。以下将...
PHP 表单提交处理表单数据详解及实例
12-18
处理POST数据时,要特别注意SQL注入和跨站脚本攻击(XSS)。 在实际开发中,除了简单的数据处理,还可能涉及到表单验证(如检查必填字段、验证邮箱格式等)、错误处理和重定向等操作。表单数据处理验证是...
php表单提交数据验证处理(SQL注入XSS攻击等)
wml
05-27 7390
代码实例:<?php $user_name = strim($_REQUEST['user_name']);function strim($str) { //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 //预定义的字符是: // & (和号)成为 & //
PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1514
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
PHPSQL注入代码,PHPCSRF、XSS、SQL注入攻击
云博客_资源宝分享
08-12 2441
1.服务端进行CSRF御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
如何预SQL注入XSS攻击
一个傻子程序媛的博客
06-10 5043
SQL注入简介 SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
PHP SQL注入XSS攻击
郎涯技术
11-21 3698
就是通过把SQL命令、JS脚本等插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.在用户名输入框中输入:' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,等价于 select * from users where usernam...
php角度分析预xss和Sql注入
weixin_38597669的博客
05-08 700
本文从php角度分析如何预xss和Sql注入,Xss形式和Sql注入形式
php对前台提交的表单数据做安全处理SQL注入XSS攻击等)
hello PHP的博客
09-18 1694
/** * sql注入字符串转义 * @param $content 要转义内容 * @return array|string */ public static function escapeString($content) { $pattern = "/(select[\s])|(insert[\s])|(update[\s])...
PHP后端安全性:如何SQL注入和跨站脚本攻击?
ElvaRaleign的博客
04-25 974
然而,安全性是一个持续的过程,我们需要保持警惕,及时关注最新的安全威胁和漏洞信息,不断更新和改进我们的安全措施。SQL注入攻击是指攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而操纵后端数据库的执行。跨站脚本攻击(XSS)是指攻击者通过注入恶意脚本到Web页面中,当其他用户访问该页面时,恶意脚本会在用户的浏览器中执行,从而窃取用户信息、执行恶意操作或进行钓鱼攻击等。通过配置CSP,可以指定允许加载的脚本、样式和资源的来源,从而止来自不可信来源的恶意脚本执行。等能够执行动态代码的函数。
Web安全测试实战:SQL注入XSS攻击的检测与
blues_C的博客
04-27 819
在网络安全领域,SQL注入和跨站脚本(XSS)攻击是两大主要威胁,它们可以导致数据泄露、会话劫持甚至整个系统的破坏。本文将通过具体的代码示例、测试步骤和御策略,展示如何检测和御这两种攻击,以提升Web应用的安全性。
一文搞懂 XSS攻击SQL注入、CSRF攻击、DDOS攻击、DNS劫持
国内某知名游戏公司小菜鸡工程师
08-08 5351
学好网络安全,以己之矛护己之盾
输入值/表单提交参数过滤有效sql注入的方法
10-26
为了止这种攻击,开发者需要对用户输入进行严格的过滤和验证,这就是输入值/表单提交参数过滤的目的。 在上述代码中,作者提供了一个简单的过滤函数`filter_keyword`,用于移除SQL和PHP文件操作的关键字。这个...
php实现表单多按钮提交action的处理方法
12-19
需要注意的是,处理表单提交时,应当考虑到安全性问题,包括但不限于SQL注入XSS攻击等。对于用户输入的数据,应该进行适当的验证和清理,确保服务器不会受到恶意输入的影响。 总结起来,实现PHP表单多按钮...
chromedriver-mac-arm64_126.0.6465.0.zip
07-31
chromedriver-mac-arm64_126.0.6465.0.zip
chromedriver-mac-x64_122.0.6235.0.zip
最新发布
07-31
chromedriver-mac-x64_122.0.6235.0.zip
chromedriver-mac-x64_122.0.6188.0.zip
07-31
chromedriver-mac-x64_122.0.6188.0.zip
【JCR2区】基于matlab阿基米德算法优化最小二乘法AOA-LSSVM数据分类【含Matlab源码 6004期】.zip
07-31
CSDN海神之光上传的代码均可运行,亲测可用,换数据就行,适合小白; 1、代码压缩包内容 主函数:main.m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化最小二乘法支持向量机LSSVM分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化LSSVM 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化LSSVM 4.4.3 灰狼算法GWO/狼群算法WPA优化LSSVM 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化LSSVM 4.4.5 萤火虫算法FA/差分算法DE优化LSSVM 4.4.6 其他优化算法优化LSSVM
【JCR2区】基于matlab蚁狮算法优化最小二乘法ALO-LSSVM数据分类【含Matlab源码 6057期】.zip
07-31
CSDN海神之光上传的代码均可运行,亲测可用,换数据就行,适合小白; 1、代码压缩包内容 主函数:main.m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化最小二乘法支持向量机LSSVM分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化LSSVM 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化LSSVM 4.4.3 灰狼算法GWO/狼群算法WPA优化LSSVM 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化LSSVM 4.4.5 萤火虫算法FA/差分算法DE优化LSSVM 4.4.6 其他优化算法优化LSSVM
sql注入 xss攻击和csrf攻击的区别
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值