php mysql过滤特殊字符_PHP 过滤表单提交特殊字符(防注入)_PHP教程

最新推荐文章于 2021-04-03 16:39:39 发布
最新推荐文章于 2021-04-03 16:39:39 发布
阅读量456 收藏
点赞数
文章标签: php mysql过滤特殊字符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39629467/article/details/113474842
版权
本文详细介绍了PHP中防止SQL注入的各种方法,包括使用htmlspecialchars、addslashes、stripslashes、strip_tags和mysql_real_escape_string等函数。通过示例代码展示了如何处理表单提交的特殊字符,确保数据安全。同时,文章还提供了通用的防注入安全代码示例。
摘要由CSDN通过智能技术生成

本文章来给大家总结一下在php中常用的一些防php注入,sql注入的一些方法介绍,在php中提供了htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string等几个函数,有需要了解的朋友可参考。

下面针对常用表单特殊字符处理进行总结:

测试字符串:

代码如下

复制代码

$dbstr=’D:test

http://www.bKjia.c0m,天缘博客

‘!=’1’ OR ‘1’

alert(“Fail”);

PHP OUTPUT”; ?>’;

测试代码:

代码如下

复制代码

header(“Content-Type: text/html; charset=UTF-8”);

echo “——————————————————

rn”;

echo $dbstr.”

rn——————————————————

rn”;

$str=fnAddSlashes($_POST[‘dd’]);

echo $str.”

rn——————————————————

rn”;

$str = preg_replace(“/s(?=s)/”,”1″,$str);//多个连续空格只保留一个

$str = str_replace(“r”,”

“,$str);

$str = str_replace(“n”,”

“,$str);

$str = preg_replace(“/((

)+)/i”, “

“, $str);//多个连续

标签只保留一个

$str=stripslashes($str);

echo strip_tags($str).”

rn——————————————————

rn”;

echo htmlspecialchars($str).”

rn——————————————————

rn”;

echo htmlentities($str).”

rn——————————————————

rn”;

echo mysql_escape_string($str).”

rn——————————————————

rn”;

字符串包含:反斜杠路径,单双引号,HTML标记、链接、未封堵的HTML标记,数据库语法容错,JS执行判断,PHP执行判断,多个连续回车换行符和空格。其中有些概念有包含关系

二、表单提交数据处理

1、强制加入反斜线

由于有些主机默认开启魔术引用get_magic_quotes_gpc,有些可能关闭,所以在程序上最好一律强制加入反斜线,这样可以统一处理,字符涉及单引号、双引号和反斜线。

代码如下

复制代码

function fnAddSlashes($data)

{

if(!get_magic_quotes_gpc()) //只对POST/GET/cookie过来的数据增加转义

return is_array($data)?array_map(‘addslashes’,$data):addslashes($data);

else

return $data;

}

2、对特殊字符处理

以下是几个常用字符串处理,可以视具体情况取舍。由于上面已经对提交表单数据进行一次转义,所以如果需要对内容替换或过滤需要考虑addslashes对相关字符的影响,替换或查找时需考虑反斜杠的添加。其它字符替换不影响,比如rn替换。

A、多个连续空格只保留一个

代码如下

复制代码

$data = preg_replace(“/s(?=s)/”,”1″,$data );//多个连续空格只保留一个

B、回车换行替换成

代码如下

复制代码

$data = str_replace(“r”,”

“,$data );

$data = str_replace(“n”,”

“,$data );

//html中默认

没封堵,xhtml中

有封堵,建议使用

,更多区别:

C、多个连续

只保留一个

代码如下

复制代码

$data = preg_replace(“/((

)+)/i”, “

“, $data );//多个连续

标签只保留一个

D、全部过滤HTML标记

该方式是全部过滤潜在危险的标记,包括HTML、链接、未封堵HTML标记、JS、PHP。

使用函数strip_tags($data)

该函数使用后会过滤全部的HTML标记(包括链接)和PHP标记、JS代码等,其中链接会保留链接原文只是去除标记和href部分内容,PHP标记和JS标记则会整体去除,包括中间的内容,如下图:

E、不过滤标记,只是把他们HTML化

该方法是把原提交内容全部按照普通文本来处理。

使用函数htmlspecialchars($data),该函数执行后会把提交数据全部按照普通文本来展示,如下图:

使用htmlentities函数执行结果(中文显示乱码):

三、写入数据库

由于使用addslashes($data)后对于高级的可信任用户可以直接写入数据库,但是addslashes无法拦截使用0xbf27代替的单引号,所以最好还是使用mysql_real_escape_string或mysql_escape_string进行转义,不过转义之前需先去除反斜杠(假设已默认开启addslashes)。

代码如下

复制代码

function fnEscapeStr($data)

{

if (get_magic_quotes_gpc())

{

$data= stripslashes($value);

}

$data=”‘”. mysql_escape_string($value) .”‘”;

return $data;

}

$data=fnEscapeStr($data);

PHP通用防注入安全代码

代码如下

复制代码

说明:

判断传递的变量中是否含有非法字符

如$_POST、$_GET

功能:

防注入

**************************/

//要过滤的非法字符

$ArrFiltrate=array(”‘”,”;”,”union”);

//出错后要跳转的url,不填则默认前一页

$StrGoUrl=””;

//是否存在数组中的值

function FunStringExist($StrFiltrate,$ArrFiltrate){

foreach ($ArrFiltrate as $key=>$value){

if (eregi($value,$StrFiltrate)){

return true;

}

}

return false;

}

//合并$_POST 和 $_GET

if(function_exists(array_merge)){

$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);

}else{

foreach($HTTP_POST_VARS as $key=>$value){

$ArrPostAndGet[]=$value;

}

foreach($HTTP_GET_VARS as $key=>$value){

$ArrPostAndGet[]=$value;

}

}

//验证开始

foreach($ArrPostAndGet as $key=>$value){

if (FunStringExist($value,$ArrFiltrate)){

echo “alert(/”Neeao提示,非法字符/”);”;

if (empty($StrGoUrl)){

echo “history.go(-1);”;

}else{

echo “window.location=/””.$StrGoUrl.”/”;”;

}

exit;

}

}

?>

/*************************

保存为checkpostandget.php

然后在每个php文件前加include(“checkpostandget.php“);即可

www.bkjia.comtrueTechArticle本文章来给大家总结一下在php中常用的一些防php注入,sql注入的一些方法介绍,在php中提供了htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_re…

weixin_39629467
关注
PHP表单提交特殊字符过滤和处理
紫云的博客
06-09 2万+
php编码转换
PHPMYSQL注入及转义存在潜在威胁的字符串插件.rar
07-14
PHPMYSQL注入及转义存在潜在威胁的字符串插件介绍: 1.插件作用: 本插件对用户提交的信息进行过滤可以止数据库注入,及转义用户可能提交的会被执行的脚本代码使之转为字符串,从而保证了网页的正常显示和数据库数据的安全。   2.插件说明: 阻止任何可能攻击服务器的意图,或者止插入一些不需要的MySql命令、HTML语句或者Javascript脚本。 插件的两个个方法接受一个字符串,对它进行"过滤"处理后,就可以用在自己的网站上或MySql数据库里。 他们都需要一个参数: $string 一个需要"过滤"处理的字符串。   3.包含SanitizeString.class.php类文件,实例化,用得到的对象根据需求分别调用PIPHP_SanitizeString方法或者PIPHP_MySQLSanitizeString,前者为将可能会被执行的如js代码转义为普通字符串,后者为数据库注入过滤
php mysql注入字符串过滤_浅析php过滤html字符串,止SQL注入的方法
weixin_42297665的博客
01-20 115
批量过滤post,get敏感数据复制代码 代码如下:$_GET = stripslashes_array($_GET);$_POST = stripslashes_array($_POST);数据过滤函数复制代码 代码如下:function stripslashes_array(&$array) {while(list($key,$var) = each($array)) {if ($ke...
php 字符串注入,PHP注入攻击实例分析
weixin_30663789的博客
03-09 315
本文以实例形式详细分析了PHP注入攻击的方法。分享给大家供大家参考。具体分析如下:PHP addslashes() 函数--单撇号加斜线转义PHP String 函数定义和用法addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (')双引号 (")反斜杠 (\)NULL语法:addslashes(string)参数描述string必需。规定要检查的字符串。提...
php过滤参数特殊字符注入,php过滤参数特殊字符注入
weixin_39926613的博客
04-03 188
/*** 安全过滤php的$_GET 和$_POST参数*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$key]=filterHtml($value...
PHP止数据库字符串登录SQL注入攻击
weixin_34161064的博客
12-07 127
<?php header("Content-Type:text/html;charset=UTF-8"); // 数据库配置 include_once 'config.php'; // 获得传递参数 $user_name=isset($_request['user_name'])?$_request['user_name']:''; $user_p...
PHP.rar_PHP 教程_php_php教程_vc mysql_教程
09-20
通常,这样的教程会从基础概念开始,逐步讲解PHP语法、函数、错误处理、表单处理、会话控制、文件操作、MySQL数据库交互等内容。通过系统学习,读者能在短时间内理解PHP的核心概念并能进行基本的Web开发。 【VC ...
PHP表单提交特殊字符过滤和处理方法汇总
12-18
本文将汇总一些常用的PHP函数,用于过滤和处理表单提交特殊字符,确保数据安全。 1. htmlspecialchars函数: 此函数将特殊字符转换为HTML实体,止它们在浏览器中被解析为它们的原始含义。例如,它会将'&'转换为...
php-mysql-forum.rar_forum_php mysql_php mysql 论坛_php+mysql_php论坛
09-24
6. **表单处理**:PHP 使用 `$_POST` 超全局变量获取表单提交的数据,通过 `htmlspecialchars()` 函数转义特殊字符止 XSS 攻击。 7. **模板引擎**:可能使用了如 Smarty 或 Twig 等模板引擎,分离业务逻辑和...
filter 止SQL注入(替换特殊字符版)
09-29
filter 止SQL注入 替换特殊不合格字符。 <!-- SQL注入 SQLFilter frame.struts.SQLFilter SQLFilter /* --> 配置文件
PHP实现表单提交数据的验证处理功能【SQL注入和XSS攻击等】
10-19
PHP编程中,确保表单提交数据的安全性至关重要,因为不正确的处理可能导致SQL注入和XSS(跨站脚本)攻击。SQL注入允许攻击者通过输入恶意SQL代码来操纵数据库,而XSS攻击则可能窃取用户数据或执行恶意脚本。以下将...
php注入,表单提交值转义的实现详解
12-19
以下是对PHP注入以及表单提交值转义的详细解释。 首先,了解`magic_quotes_gpc`这个配置选项。在旧版本的PHP中,`magic_quotes_gpc`默认开启,会自动对用户输入的数据进行转义,包括单引号(')、双引号(")、反斜杠...
php参数注入,php过滤客户提交参数,注入
weixin_36459720的博客
03-21 324
以下代码实现过滤php的$_GET 和$_POST参数/*** 安全范*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$key]=filterHtml(...
php过滤参数特殊字符注入
02-18 143
  分享一例php实现过滤提交的参数数据以注入的代码,有需要的朋友参考下。  本节内容:  php过滤特符字符,php注入。  in: 后端程序  例子:  代码示例:  <?php  /**  * 安全范  过滤php的$_GET 和$_POST参数  */  function Add_S($array)  {  foreach($array as $key=>$v...
php注入和XSS攻击通用过滤
prefertea的博客
10-15 831
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。 那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips 假定...
php mysql过滤特殊字符_<转>PHP特殊字符串的过滤和处理
weixin_39927288的博客
01-19 370
前天天缘把博客文章做过一次内容批量修改,由于在源程序存在BUG,导致很多路径或代码中的反斜杠被无辜去除,昨天通过bankw3000网友的留言才发现这个问题,已做了部分修正不排除还有些路径存在问题,如果大家发现博客上存在路径丢失反斜杠\的问题,欢迎留言反馈,天缘会再做修正。天缘本文特别把PHP关于表单提交特殊字符的处理方法做个汇总,主要涉及htmlspecialchars/addslashes/st...
老问题了php的html字符串过滤注入
weixin_34146410的博客
03-22 188
PHP止SQL注入 实现html字符串过滤,用函数把将要写入到数据库的字符串处理下,过滤非法信息,以及恶意的html代码!//php 批量过滤post,get敏感数据 if (get_magic_quotes_gpc()) { $_GET = stripslashes_array($_GET); $_POST = stripslashes_array($_POST);...
report ETL .ffff
最新发布
09-17
report ETL .ffff
PHP+MySQL构建简易在线题库系统教程
"php+mysql开发的最简单在线题库(在线做题系统)完整案例" 在本案例中,我们将探讨如何使用PHPMySQL来构建一个基础的在线题库系统。这个系统的主要功能包括创建表单供用户输入答案,验证用户输入与数据库中的正确...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值