php 字符串防注入,php 字符过滤和防sql注入

最新推荐文章于 2024-03-07 08:15:00 发布
最新推荐文章于 2024-03-07 08:15:00 发布
阅读量251 收藏
点赞数
文章标签: php 字符串防注入

Filter,它的作用就和他的名字一样——过滤。过滤规则成为过滤器,Filter内置了多个常用过滤器,根据过滤器功能的不同,可以分成净化过滤器(Sanitization)和验证过滤器(Validation)两种。两种的差别在于,净化过滤器会把被过滤的变量中不符合规则的东西清除掉,返回清除后的内容;而验证过滤器只是验证的功能,并不会去改变变量的值,如果符合过滤器的规则,则返回变量内容,否则返回false;

安装

Filter的安装很简单,如果是PHP5.2.0之后的版本,应该已经默认打开了,可以通过phpinfo()来查看。如果5.2.0之前的版本,可以使用PECL来使用Filter

使用

使用filter来过滤或验证数据很简单,下面是一个简单的例子

$email1='huanggy@example.org';

$email2="example.org";

$email3="(huanggy@example.org)";

var_dump(filter_var($email1,FILTER_VALIDATE_EMAIL));

var_dump(filter_var($email2,FILTER_VALIDATE_EMAIL));

var_dump(filter_var($email3,FILTER_SANITIZE_EMAIL));

?>

执行上面的例子,你可以知道,filter_var($var,$filter)函数是使用过滤器$filter来过滤变量$var,而透过结果来分析,FILTER_VALIDATE_EMAIL过滤器只是验证变量$email是否负责过滤器规定的规则,符合要求则返回变量内容,不符合则返回false;而FILTER_SANIZE_EMAIL则是对变量的内容进行净化,把不负责规则的内容都清除,然后返回清除后的结果。下面列出Filter所有内置的过滤器

验证过滤器

ID

NAME

OPTIONS

FLAGS

DESCRIBES

FILTER_VALIDATE_BOOLEAN

boolean

FILTER_NULL_ON_FATLURE

FILTER_VALIDATE_EMAIL

validate_email

FILTER_VALIDATE_FLOAT

float

decimal

FILTER_FLAG_ALLOW_THOUSAND

FILTER_VALIDATE_INT

int

min_range,

max_range

FILTER_FLAG_ALLOW_OCTACL

FILTER_FLAG_ALLOW_HEX

FILTER_VALIDATE_IP

validate_ip

FILTER_FLAG_IPV4

FILTER_FLAG_IPV6

FILTER_FLAG_NO_PRIV_RANGE

FILTER_FLAG_NO_RES_RANGE

FILTER_VALIDATE_REGEXP

validate_regexp

regexp

FILTER_VALIDATE_URL

validate_url

FILTER_FLAG_PATH_REQUIRED

FILTER_FLAG_QUERY_REQUIRED

净化过滤器

ID

NAME

OPTIONS

FLAGS

DESCRIBES

FILTER_SANITIZE_EMAIL

email

FILTER_SANITIZE_ENCODED

encoded

FILTER_FLAG_STRIP_LOW

FILTER_FLAG_STRIP_HIGH

FILTER_FLAG_ENCODE_LOW

FILTER_FLAG_ENCODE_HIGH

FILTER_SANITIZE_MAGIC_QUOTES

magic_quotes

FILTER_SANITIZE_NUMBER_FLOAT

number_float

FILTER_FLAG_ALLOW_FRACTION

FILTER_FLAG_ALLOW_THOUSAND

FILTER_FLAG_ALLOW_SCIENTIFIC

FILTER_SANITIZE_NUMBER_INT

number_int

FILTER_SANITIZE_SPECIAL_CHARS

special_chars

FILTER_FLAG_STRIP_LOW

FILTER_FLAG_STRIP_HIGH

FILTER_FLAG_ENCODE_HIGH

FILTER_SANITIZE_STRING

string

FILTER_FLAG_NO_ENCODE_QUOTES

FILTER_FLAG_STRIP_LOW

FILTER_FLAG_STRIP_HIGH

FILTER_FLAG_ENCODE_LOW

FILTER_FLAG_ENCODE_HIGH

FILTER_FLAG_ENCODE_AMP

FILTER_SANITIZE_STRIPPED

stripped

FILTER_SANITIZE_URL

url

FILTER_UNSAFE_RAW

unsafe_raw

FILTER_FLAG_STRIP_LOW

FILTER_FLAG_STRIP_HIGH

FILTER_FLAG_ENCODE_LOW

FILTER_FLAG_ENCODE_HIGH

FILTER_FLAG_ENCODE_AMP

PS.

ID为过滤器的ID,NAME为过滤器的名字,OPTIONS为过滤器的可以配置的参数,FLAG为过滤器的FLAG参数,可以理解长附加选项,DESCRIBES为过滤功能的描述了;其中ID,FLAGS为filter预定义变量,各个变量的具体含义可以查看这里http://cn.php.net/manual/en/filter.constants.php

filter扩展内置的函数有

filter_var($var,[$filter,[$options]]) 使用过滤器$filter过滤$var变量,如果$filter可以使用配置参数,可以第三个参数$options里面配置

e.p

$int= 10;

var_dump(filter_var($int,FILTER_VALIDATE_INT)); # 输出int(10)

$options=array('options'=>array('min_range'=>15));

var_dump(filter_var($int,FILTER_VALIDATE_INT,$options));#输出bool(false)

?>

同样的整形变量10,在我第二个过滤器中加两个配置参数,最小值为15,10不满足这个条件,所以返回fasle

再看下面这个例子

$int='0xf';

var_dump(filter_var($int,FILTER_VALIDATE_INT)); # 输出bool(false)

$options=array('options'=>array('min_range'=>15),'flags'=>FILTER_FLAG_ALLOW_HEX);

var_dump(filter_var($int,FILTER_VALIDATE_INT,$options));#输出int(15)

?>

默认FILTER_VALIDATE_INT过滤认为'0xf'不是整形变量,但是加了FLAGS附件参数FILTER_FLAG_ALLOW_HEX进去,FILTER_FLAG_ALLOW_HEX参数是允许使用十六进制的意思,'0xf'转化为十六进制等于15,符合规则,返回15

基本上就是这么用了 。其他的内置函数大体上也都是这么用,区别在于,有些为了方便大家一次多多个数据进行过滤,像

filter_var_array($data,$filter) $data为被过滤的变量,$filter为过滤器,两者通过key来对应,看下面这个例子你可以很容易的明白这个函数的用图

error_reporting(E_ALL | E_STRICT);

$data=array(

'product_id'=>'libgd

'component'=>'10',

'versions'=>'2.0.33',

'testscalar'=>array('2','23','10','12'),

'testarray'=>'2',

);

$args=array(

'product_id'=> FILTER_SANITIZE_ENCODED,

'component'=>array('filter'=> FILTER_VALIDATE_INT,

'flags'=> FILTER_FORCE_ARRAY,

'options'=>array('min_range'=> 1,'max_range'=> 10)

),

'versions'=> FILTER_SANITIZE_ENCODED,

'doesnotexist'=> FILTER_VALIDATE_INT,

'testscalar'=>array(

'filter'=> FILTER_VALIDATE_INT,

'flags'=> FILTER_REQUIRE_SCALAR,

),

'testarray'=>array(

'filter'=> FILTER_VALIDATE_INT,

'flags'=> FILTER_FORCE_ARRAY,

)

);

$myinputs= filter_var_array($data,$args);

var_dump($myinputs);

echo"/n";

?>

此外还有下面几个内置函数

filter_input($type,$key,[$filter,[$options]])

filter_input_array($data,$filter)

filter_has_var($type,$key);

filter_id($filte)

filter_list()

其中filter_input函数是对PHP环境固有变量进行过滤,并把值赋予$key,$type表示PHP环境变量的类型,有下面

几种

INPUT_GET,INPUT_POST,INPUT_COOKIE,INPUT_SERVER,INPUT_ENV,INPUT_SESSION,一看就知道对应的是什么环境变量,假设你要对$_GET['huanggy']进行FILTER_VALIDATE_INT过滤,可以这样

<?php

fileter_input(INPUT_GET,'huanggy',FILTER_VALIDATE_INT);

?>

filter_input_array()和filter_input()的关系相当于前面说的filter_var()和filter_var_array()的关系。

filter_list()可以获取所有支持的内置过滤器的NAME

扩展

如果filter内置的过滤器都满足不了你,怎么办?Filter的内置过滤器中有一个叫FILTER_CALLBACK的,这个过滤器额可以帮组你

<?php

functionmyfilter($str){

returnstr_replace('9','5',$str);

}

classMyFilter{

publicfunctionfilter1($str){

returnstr_replace('9','6',$str);

}

}

echofilter_var('wo9w9w9',FILTER_CALLBACK,array('options'=>'myfilter'));

echofilter_var('wo9w9w9',FILTER_CALLBACK,array('options'=>array('MyFilter','filter1')));

?>

通过这种方式,就可以自定义一个过滤规则,通过FILTER_CALLBACK过滤器来过滤了

Booker Dewitt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPSQL注入方法
tongluren381的博客
10-20 3664
1.前端输入口限制特殊字符输入2.后端做变量转化,过滤和变量参数话​​​​​​​前端input部分 后端php部分一: 后端php部分二: php7 mysql注入_php如何sql注入?_雾里听风的博客-CSDN博客SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内
php中htmlspecialchars()函数和addslashes()函数的使用和区别
weixin_30651273的博客
02-13 478
止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
php应对sql注入数据库处理
最新发布
aicsswo的博客
03-07 417
PHPSQL注入的主要策略包括使用预处理语句(Prepared Statements)、参数化查询、过滤输入和转义特殊字符等。
phpSQL注入详解及
生而为人我很抱歉
07-13 1634
一个是没有对输入的数据进行过滤过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的源程序和数据库方案),考虑以下简单的登录表单: 复制代码 代码如下: Username: Password: 作为一
php过滤提交数据 sql注入攻击无标题笔记
09-30 369
原帖:http://www.rising.com.cn/newsletter/news/2012-05-24/11580.html 函数 : mysql_real_escape_string() addslashes() stripslashes() strip_tags() magic_quotes_gpc= register_globals get_magic_
浅析php过滤html字符串,SQL注入方法
10-27
本篇文章是对php过滤html字符串,SQL注入方法进行了详细的分析介绍,需要的朋友参考下
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric (mixed $var)如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。二、函数是否安全接下来...
phpsql注入代码实例
12-18
放到公用调用文件(如conn数据库链接文件),对所有GET或POST的数据进行过滤特殊字符串,以实现简单有效的SQL注入过滤 复制代码 代码如下:Function inject_check($sql_str) { return eregi(‘select|insert|and|or|...
PHP MYSQL注入攻击需要预7个要点
12-15
2:字符串参数使用类似mysql_real_escape_string这样的方法强制过滤,而不是简单的addslashes。 3:最好抛弃mysql_query这样的拼接SQL查询方式,尽可能使用PDO的prepare绑定方式。 4:使用rewrite技术隐藏真实...
phpsql注入的方式,PHPsql注入方法总结分析
weixin_30364109的博客
03-20 961
1、php提交数据过滤的基本原则1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串过滤也是个不错的选择。2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,coo...
post注入过滤 php,PHP之POST参数过滤SQL注入
weixin_30139213的博客
03-12 830
php整站sql注入程序,对于MySQL用户,可以使用函数mysql_real_escape_string( ),此函数需要注意编码问题,另外还有一个函数mysql_escape_string( )也可以使用,尽量使用为你的数据库设计的转义函数。如果没有,使用函数addslashes()是最终的比较好的方法。当所有用于建立一个SQL语句的数据被正确过滤和转义时,实际上也就避免了SQL注入的风险。...
ASP.NET网站程序SQL注入式攻击方法
SoftFairy的专栏
12-06 1266
ASP.NET网站程序SQL注入式攻击方法 一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴
php中的sql注入
ocean2017的博客
03-17 1307
addslashes 函数并不能转义所有可能引起 SQL 注入字符。例如,使用 %、_、- 等字符可以进行模糊查询,而这些字符在 addslashes 函数中并没有被转义。如果用户已经对输入进行了转义,再使用 addslashes 函数可能会导致出现双重转义的问题,从而使字符串变得无效。addslashes 函数仅仅是将某些字符进行了转义,但并没有考虑到不同字符集的编码问题。如果使用的是非 ASCII 字符集,如中文、日语等字符集,那么 addslashes 函数可能会导致字符串变得无效或者出现乱码。
sql php 过滤特殊字符,phpsql注入过滤特殊字符
weixin_31487521的博客
04-12 394
我在PHP4环境下写了一个SQL注入的代码,经过实际使用在PHP5下也兼容,欢迎大家使用修改,使用。代码如下:/*sqlin 注入类*/class sqlin{//dowith_sql($value)function dowith_sql($str){$str = str_replace("and","",$str);$str = str_replace("execute","",$str);...
php sql注入参数过滤器,SQL注入过滤器的实现
weixin_36155081的博客
03-26 785
1- 配置web.xml,增加过滤器配置PreventSqlInjectSqlInjectFiltersensitive-wordsselectinsertdeletefromupdatecreatedestorydropalterandorlikeexeccountchrmidmastertruncatechardeclare;'%<>...
php+mysql注入字符串过滤_php sql注入过滤代码
weixin_32866237的博客
02-06 479
我们提供了三个函数不来过滤一些特殊的字符,主要是利用phpsql敏感字符串过滤掉了,好了下面来看看这款代码吧,有需要的朋友拿去看看,实例代码如下:function phpsql_show($str){$str = stripslashes($str);$str = str_replace("\", "", $str);$str = str_replace("/", "/", $str);$st...
php 字符串注入过滤,php过滤html字符串SQL注入
weixin_39901439的博客
03-17 328
php过滤html字符串SQL注入php过滤html字符串SQL注入,用函数把将要写入到数据库的字符串处理下,过滤非法信息,以及恶意的html代码!//php 批量过滤post,get敏感数据if (get_magic_quotes_gpc()) {$_GET = stripslashes_array($_GET);$_POST = stripslashes_array($_POST)...
php 过滤特殊字符sql注入代码
chamtianjiao的专栏
12-27 6461
//方法一 //过滤',",sql语名 addslashes(); //方法二,去除所有html标签 strip_tags(); //方法过滤可能产生代码 function php_sava($str)  {      $farr = array(          "/s+/",
php过滤参数特殊字符注入,php过滤参数特殊字符注入
weixin_39926613的博客
04-03 159
/*** 安全过滤php的$_GET 和$_POST参数*/function Add_S($array){foreach($array as $key=>$value){if(!is_array($value)){$value = get_magic_quotes_gpc()?$value:addslashes($value);$array[$key]=filterHtml($value...
php代码体现SQL注入,含详细注释
05-31
- 第 20 行:使用 `bind_param()` 方法绑定参数,第一个参数 `"si"` 表示两个参数的类型,`s` 表示字符串类型,`i` 表示整数类型,后面的两个参数分别为 `$name` 和 `$age`,即用户输入的数据。 - 第 23-30 行:执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值