php 的安全过滤(基础篇)

最新推荐文章于 2024-04-29 00:15:00 发布
最新推荐文章于 2024-04-29 00:15:00 发布
阅读量3.9k 收藏 3
点赞数
文章标签: php filter string float email url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yananwang/article/details/6921829
版权


PHP 5.2 以上提供了一个非常简单好用的自带函数 filter_var ,下面是对这个函数使用的详细介绍。

验证数据类型是否为boolean

举例:

<?php
    $value01 = TRUE;  
    if(filter_var($value01,FILTER_VALIDATE_BOOLEAN)) {  
     echo 'TRUE';  
    } else {  
     echo 'FALSE';  
    }  
    echo '<br /><br />'; 
    $value02 = TRUE;  
    if(filter_var($value02,FILTER_VALIDATE_BOOLEAN)) {  
     echo 'TRUE';  
    } else {  
     echo 'FALSE';  
    }  
?>

FILTER_VALIDATE_EMAIL 验证是否为email

FILTER_VALIDATE_FLOAT:验证是否为浮点型

FILTER_VALIDATE_INT:验证是否为整型

FILTER_VALIDATE_IP:验证是否是合法IP

FILTER_VALIDATE_URL:验证是否是合法URL


FILTER_SANITIZE_STRING:对字符串进行消毒过滤,这个参数会过滤并把不合法的用户输入自动去掉,例如:HTML标签等。

举例程序:

<?php
    $value = "<script>alert('TROUBLE HERE');</script>";  
    echo filter_var($value, FILTER_SANITIZE_STRING);  
    echo "<br>";
    $value = "<body>alert('boy's book');</body>";
    echo filter_var($value,FILTER_SANITIZE_STRING);
?>

你将会得到如下一串异常合法的输出: 


alert('TROUBLE HERE');

alert('boy's book');

FILTER_SANITIZE_ENCODED:对输入的编码进行url编码,功能类似于urlencode。

FILTER_SANITIZE_SPECIAL_CHARS:过滤掉所有html标签

FILTER_SANITIZE_EMAIL:去掉在email地址中无效的符号,例如括号

FILTER_SANITIZE_URL:类似于FILTER_SANITIZE_EMAIL,去掉在url中无效的符号。

FILTER_SANITIZE_NUMBER_INT:类似于FILTER_VALIDATE_INT,但是他除了简单判断是否是整形以外,还将返回过已滤掉非数字字符的字符传(疑问晕死,还是看个例子吧)

$value01 = '1你好吗23abc45%#6def';  
echo filter_var($value01, FILTER_SANITIZE_NUMBER_INT);

FILTER_SANITIZE_NUMBER_FLOAT:功能目前我发现的就是同上,但是为啥既然是一样的他们两个还都同时存在呢,一个最主要的原因就是当  FILTER_SANITIZE_NUMER_FLOAT后面加了FILTER_FLAG_ALLOW_FRACTION这个参数以后就会体现不同了。(那为啥不直接就定义个可以只过滤个浮点数的参数嘞,偶也不知道 偷笑

看看这个例子吧:

$value = '1.23';  
echo filter_var($value, FILTER_SANITIZE_NUMBER_FLOAT, FILTER_FLAG_ALLOW_FRACTION);

当然,避免注入还有很多其他简单又基本的方法:

例如我们还可以用:

htmlspecialcharshtmlentitiesmysql_real_escape_string

或者你甚至还可以自己定义些自己需要的方法。



好啦,就写到这里吧。本文很大一部分参考了Getting Clean With PHP这篇文章,在此非常感谢之:)












 



yananwang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
基础】第01PHP代码审计笔记--SQL注入1
08-03
- 对用户输入进行多重验证和过滤,例如限制输入长度,使用安全过滤函数。 - 总是对数据库操作进行错误处理和日志记录,以便于检测和调试潜在的安全问题。 总的来说,防止SQL注入的关键在于理解输入数据的处理...
PHPfilter_var()函数是干什么的?底层原理是什么?
长风破浪会有时的博客
09-04 249
这些底层函数使用预定义的过滤器类型和选项来检查输入数据是否符合指定的格式和规则,并返回过滤后的结果或验证结果。函数是一个用于过滤和验证数据的内置函数。它可以根据给定的过滤器类型和选项对数据进行过滤和验证,并返回过滤后的结果或验证结果。参数是指定的过滤器类型,可以是预定义的过滤器类型或自定义的回调函数;参数是需要过滤或验证的数据,可以是字符串、数组或对象;参数是指定的过滤器选项,可以是可选的数组参数。函数通过调用这些底层函数来实现数据过滤和验证。函数的底层原理是通过调用C语言实现的底层函数。
php漏洞与代码审计过程中需要注意的几点
Delete_V的专栏
11-24 1306
漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等   1.xss + sql注入   其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数,可由如下所示:   $_REQUEST = filter_xss($_REQUEST);   $_GET = filter
PHP系列」PHP 过滤
最新发布
日常笔记/总结/系列知识梳理
04-29 778
过滤器可以帮助您清理用户输入、防止跨站脚本攻击(XSS)和其他安全漏洞,并确保数据的完整性和准确性。函数结合使用,根据您的需求进行数据的验证和清理。请注意,过滤器并非万能的,它们主要用于基础的数据验证和清理,而不是用于替代其他安全措施,如输入验证和输出编码。PHP 过滤器扩展提供了一组预定义的过滤器,您可以使用它们来执行常见的验证和过滤任务。这些函数接受要过滤的数据和过滤器的类型作为参数,并返回经过过滤或验证后的数据。函数来执行过滤操作。该函数接受两个参数:要过滤的值和要应用的过滤器的标识符。
php安全处理 过滤函数,php 安全过滤函数代码
weixin_29505609的博客
03-10 189
php 安全过滤函数代码发布于 2015-01-21 12:58:46 | 149 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为php。本文是...
php文件安全过滤,PHP字符串安全过滤全攻略
weixin_28722991的博客
03-28 330
php安全过滤是防止注入的第一道防线,不得大意。提到PHP安全过滤,不得不提的两个东西是`set_magic_quotes_runtime` 和 `magic_quotes_gpc`。`set_magic_quotes_runtime()` 可以让程序员在代码中动态开启或关闭 `magic_quotes_runtime`,`set_magic_quotes_runtime(1)` 表示开启,`s...
基础】第08PHP代码审计笔记--任意文件下载漏洞1
08-03
该漏洞是由于文件名及路径由客户端传入的参数控制,并且未进行有效的过滤,导致用户可恶意下载任意文件。攻击者可以提交url:test.php?filename=test.php,即可下载test.php源码,并实现跨目录下载系统中的任意文件...
从Web查询数据库之PHP与MySQL
10-29
4. **数据过滤安全**:在处理用户输入数据时,要确保数据的安全性。可以使用`trim()`去除多余的空格,`addslashes()`对特殊字符进行转义,`stripslashes()`移除转义的反斜线,以及`get_magic_quotes_gpc()`检查...
经典Python面试题之Python基础.docx
12-24
Python是一种高级编程语言,因其简洁明了的语法和强大的功能而受到广泛的欢迎。...这只是Python基础面试题的一部分,深入学习还包括异常处理、面向对象编程、文件操作、网络编程、多线程/进程、模块化编程等多个方面。
php安全过滤
ghyy721的专栏
10-28 348
php的所有$_post,$_get,$_request变量 都需要进行安全过滤,如果系统没有开启
php安全过滤类.zip
07-11
php安全过滤
php常用的安全过滤函数集锦
12-19
虽然各种开发框架给我们提供了很好的安全的处理方式,但是,我们还是要注意一下安全问题的。  原因简单:很多小的功能和项目是用不到框架的,我们需要自己解决安全问题! ①常用的安全函数有哪些: 复制代码 代码如下: mysql_real_escape_string()  addslashes() ②这些函数的作用: mysql_real_escape_string()和addslashes()函数都是对数据中的 单引号、双引号进行转义!也就是防止sql注入!  但是mysql_real_escape_string()考虑了字符集,更加的安全一些!  经过查阅相关的资料,可以得出一个结论:当前的字符
php 自带过滤和转义函数
weixin_34194702的博客
11-23 628
    函数名 释义 介绍 htmlspecialchars 将与、单双引号、大于和小于号化成HTML格式 &amp;转成&amp;amp;"转成&amp;quot;' 转成&amp;#039;&lt;转成&amp;lt;&gt;转成&amp;gt; htmlen...
Filter php自带过滤函数
zhyke
08-29 1218
PHP Filter 简介 PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。 是一个很有用的方法,但是自己用的很少.所以专门记录下.以后可以用 基本知识 INPUT_xxx : 这种表示的是你要校验的参数是从哪里获得的.比如INPUT_GET,那么方法就会从$_GET中取对应的变量值进行校验 INPUT_XXX : INPUT_GET INPUT_PO...
8个很有用的PHP安全函数,你知道几个?
淡忘~浅思
11-16 1328
原文:Useful functions to provide secure PHP application 译文:有用的PHP安全函数 译者:dwqs 安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。 在PHP中,有些
PHP 安全过滤、验证和转义
一夜长风的专栏
09-02 7687
PS:来自http://laravelacademy.org/post/4610.html 我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据
PHP安全处理,过滤函数
哈尼熊熊的博客
03-14 2157
PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等. 1.mysql_real_escape_string() 这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确保在查询这些数据之前,用户提供的输入是干净的。但要注意,你是在
php安全 过滤、验证、转义
fareast_mzh的博客
07-17 710
不要相信外部源 $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input file_get_contents() 远程数据库 远程api 来自客户端的数据 htmlentities    1 <?php 2 $input = '<p><script>alert("Yo...
php实际开发中可以用到的安全过滤函数
龙cc的博客
07-30 714
1stripslashes() 函数      stripslashes()主要功能是删除反斜杠 &lt;?php echo stripslashes("Who\'s Bill Gates?"); ?&gt; 输出结果: Who's Bill Gates? 2htmlentities() 函数 htmlentities() 把字符转换为 HTML 实体 &lt;?php $st...
网络安全知识基础知识
10-19
网络安全是指保护计算机网络不受未经授权的访问、破坏、窃取、篡改、破解等威胁的一种技术和管理措施。网络安全的威胁包括黑客攻击、病毒、木马、钓鱼等。入侵方式包括黑客入侵、IP欺骗、Sniffer探测、端口扫描技术、特洛伊木马等。防火墙技术是保护网络安全的重要手段,包括包过滤防火墙、状态检测防火墙、应用代理防火墙、复合型防火墙、核检测防火墙等。密码学基础包括对称和非对称加密、数字签名等。网络安全基础知识对于保护个人和企业的信息安全至关重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值