php验证表单提交数据,PHP实现表单提交数据验证处理功能的方法

最新推荐文章于 2022-09-07 23:29:20 发布
最新推荐文章于 2022-09-07 23:29:20 发布
阅读量345 收藏
点赞数
文章标签: php验证表单提交数据

这篇文章主要介绍了PHP实现表单提交数据的验证处理功能,可实现防SQL注入和XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下

防XSS攻击代码:

/**

* 安全过滤函数

*

* @param $string

* @return string

*/

function safe_replace($string) {

$string = str_replace('%20','',$string);

$string = str_replace('%27','',$string);

$string = str_replace('%2527','',$string);

$string = str_replace('*','',$string);

$string = str_replace('"','"',$string);

$string = str_replace("'",'',$string);

$string = str_replace('"','',$string);

$string = str_replace(';','',$string);

$string = str_replace('

$string = str_replace('>','>',$string);

$string = str_replace("{",'',$string);

$string = str_replace('}','',$string);

$string = str_replace('\\','',$string);

return $string;

}

代码实例:

$user_name = strim($_REQUEST['user_name']);

function strim($str)

{

//trim() 函数移除字符串两侧的空白字符或其他预定义字符。

//htmlspecialchars() 函数把预定义的字符转换为 HTML 实体(防xss攻击)。

//预定义的字符是:

//& (和号)成为 &

//" (双引号)成为 "

//' (单引号)成为 '

//< (小于)成为 <

//> (大于)成为 >

return quotes(htmlspecialchars(trim($str)));

}

//防sql注入

function quotes($content)

{

//if $content is an array

if (is_array($content))

{

foreach ($content as $key=>$value)

{

//$content[$key] = mysql_real_escape_string($value);

/*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是:

单引号(')

双引号(")

反斜杠(\)

NULL */

$content[$key] = addslashes($value);

}

} else

{

//if $content is not an array

//$content=mysql_real_escape_string($content);

$content=addslashes($content);

}

return $content;

}

?>

//过滤sql注入

function filter_injection(&$request)

{

$pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";

foreach($request as $k=>$v)

{

if(preg_match($pattern,$k,$match))

{

die("SQL Injection denied!");

}

if(is_array($v))

{

filter_injection($request[$k]);

}

else

{

if(preg_match($pattern,$v,$match))

{

die("SQL Injection denied!");

}

}

}

}

防sql注入:

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

\x00

\n

\r

'

\x1a

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)

参数描述

string 必需。规定要转义的字符串。

connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。

对于纯数字或数字型字符串的校验可以用

is_numeric()检测变量是否为数字或数字字符串

实例:

function get_numeric($val) {

if (is_numeric($val)) {

return $val + 0;

}

return 0;

}

?>

is_array— 检测变量是否是数组

bool is_array ( mixed $var )如果 var 是 array,则返回 TRUE,否则返回 FALSE。

is_dir 判断给定文件名是否是一个目录

bool is_dir ( string $filename )判断给定文件名是否是一个目录。

如果文件名存在,并且是个目录,返回 TRUE,否则返回FALSE。

is_file— 判断给定文件名是否为一个正常的文件

bool is_file ( string $filename )判断给定文件名是否为一个正常的文件。

如果文件存在且为正常的文件则返回 TRUE,否则返回 FALSE。

Note:因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型,对 2GB 以上的文件,一些文件系统函数可能返回无法预期的结果 。

is_bool — 检测变量是否是布尔型

bool is_bool ( mixed $var )如果 var 是 boolean 则返回 TRUE。

is_string — 检测变量是否是字符串

bool is_string ( mixed $var )如果 var 是 string 则返回 TRUE,否则返回 FALSE。

is_int — 检测变量是否是整数

bool is_int ( mixed $var )如果 var 是 integer 则返回 TRUE,否则返回 FALSE。

Note:若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

is_float— 检测变量是否是浮点型

bool is_float ( mixed $var )如果 var 是 float 则返回 TRUE,否则返回 FALSE。

Note:若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

is_null— 检测变量是否为 NULL

bool is_null ( mixed $var )如果 var 是 null 则返回 TRUE,否则返回 FALSE。

is_readable — 判断给定文件名是否可读

bool is_readable ( string $filename )判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE,否则返回 FALSE。

is_writable — 判断给定的文件名是否可写

bool is_writable ( string $filename )如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。

file_exists — 检查文件或目录是否存在

bool file_exists ( string $filename )检查文件或目录是否存在。

在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。

如果由 filename 指定的文件或目录存在则返回 TRUE,否则返回 FALSE。

is_executable — 判断给定文件名是否可执行

bool is_executable ( string $filename )判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE,错误时返回FALSE。

相关推荐:

任一民
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现表单提交数据验证处理功能【防SQL注入和XSS攻击等】
10-19
主要介绍了PHP实现表单提交数据验证处理功能,可实现防SQL注入和XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下
php判断post是否xss,PHP实现表单提交数据验证处理功能【防SQL注入和XSS攻击等】...
weixin_30767895的博客
03-10 232
本文实例讲述了PHP实现表单提交数据验证处理功能。分享给大家供大家参考,具体如下:防XSS攻击代码:/*** 安全过滤函数** @param $string* @return string*/function safe_replace($string) {$string = str_replace('%20','',$string);$string = str_replace('%27','',...
学习dvwa中php代码与验证xss漏洞的标签
tututuxhw的博客
09-07 170
啊啊啊啊
php判断post是否xss,PHP 防GET\POST注入和XSS的两个函数方法
weixin_39517400的博客
03-10 192
function RemoveXSS($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // note that you have to handle splits with...
PHP网页xss攻击测试用例,PHP web项目进行XSS漏洞测试中存在的问题
weixin_32058239的博客
03-22 171
概念:跨站脚本攻击(XSS)是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。我们可以将其分成三类:(1)反射型XSS: 攻击者事先制作好攻击链...
php判断xss攻击
echojson的专栏
03-19 951
function isXss() 02.{ 03.$temp = strtoupper(urldecode(urldecode($_SERVER['REQUEST_URI']))); 04.if(strpos($temp, ') !== false || strpos($temp, '"') !== false || strpos($temp, 'CONTENT-TRAN
PHP实现防止表单重复提交功能【基于token验证
10-18
主要介绍了PHP实现防止表单重复提交功能,结合实例形式分析了php基于token验证防止表单重复提交的相关操作技巧,非常简单实用,需要的朋友可以参考下
PHP代码实现表单数据验证类库.zip
07-11
介绍了PHP代码实现表单数据验证类,比如检查输入内容的合法性,中英文判断,字符串长度是否符合要求,验证手机号,电子邮箱,生成缩略图,获取IP地址,抓取远程图片,这是一个很全面的表单验证类,几乎所有的验证都...
PHP代码实现表单数据验证
10-23
主要介绍了PHP代码实现表单数据验证类,需要的朋友可以参考下
PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1443
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
PHP代码审计 XSS专题
goddemon
02-04 282
一,XSS反射型漏洞 ①xss漏洞处 1.变量的直接输出 <?php echo $_GET['xss']; ?> 如cs.php存在的是上面的这个源码 http://127.0.0.1/cs.php?xss= 2.$_SERVER 变量参数 $_SERVER[‘PHP_SELF’] //直接在URL中输出执行XSS $_SERVER[‘HTTP_USER_AGENT’] //HTTP头中构造XSS $_SERVER[‘HTTP_REFERER’] //Referer头中构造XSS $_
php 正则表达式获取html标签内容_PHP安全篇之XSS攻击
weixin_39729262的博客
12-03 165
什么是XSS?php安全之XSSXSS,全称Cross Site Scripting,即跨站脚本攻击,从某种意义上来讲也是一种注入攻击,具体指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。什么是反射型...
[转]浅谈php web安全
weixin_30797027的博客
10-31 225
作者:phpben 来源:http://www.phpben.com/?post=79 浅谈php web安全 前言: 首先,笔记不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phpe...
PHP - 判断php是否对表单数据内的特殊字符自动转义
weixin_30794851的博客
11-18 303
get_magic_quotes_gpc 有两个返回值: 0:在php.ini文件中已经关闭自动转移。 1:在php.ini文件中已经开启自动转移。 由此函数进行判断表单是否转移: /** * * mysql_zy($str) * 作用:判断php表单是否自动转义特殊字符,如果是则取消手动转义,否则进行转义。 *...
PHP 安全:过滤、验证和转义
一夜长风的专栏
09-02 7671
PS:来自http://laravelacademy.org/post/4610.html 我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据
php处理 xss方法,php实现XSS安全过滤的方法
weixin_33132553的博客
03-29 830
本文实例讲述了php实现XSS安全过滤的方法。分享给大家供大家参考。具体如下:function remove_xss($val) {// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed// this prevents some character re-spacing such as // ...
php防止post注入恶意代码,防止恶意代码注入XSS(cross site scripting)
weixin_33100265的博客
03-16 303
Login.PHP页面html>登录页面用户名密码LoginController.PHP页面html>登录验证//接收用户提交的用户名和密码(login.php页面提交的参数)$username=$_REQUEST['username'];$password=$_REQUEST['password'];//到数据验证,怎样写出安全的代码,防止其它用户***//1.连接数据库$li...
php简单脚本验证xss反射攻击的原理
weixin_45103766的博客
08-01 400
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 ...
php 输入字符转义,【php】提交的特殊字符会被自动转义
weixin_33637634的博客
03-18 389
处理mysql和GET、POST的数据时,常常要对数据的引号进行转义操作。PHP中有三个设置可以实现自动对’(单引号),”(双引号),\\(反斜线)和 NULL 字符转移。PHP称之为魔术引号,这三项设置分别是magic_quotes_gpc影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。magic_quotes_runtime如...
提交表单数据有哪几种方法php如何获取表单提交数据
最新发布
06-09
提交表单数据的主要方法有以下几种: 1. GET 方法:将表单数据附加到 URL 的末尾,并以问号 (?) 开始。 ...需要注意的是,提交表单数据时应该对数据进行验证和过滤,以防止恶意用户提交不良数据

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值