php关于输入过滤小结

最新推荐文章于 2021-04-12 11:47:25 发布
最新推荐文章于 2021-04-12 11:47:25 发布
阅读量379 收藏 1
点赞数
分类专栏: php安全
摘要: web的安全性一部分取决于输入过滤

    Web的攻击,大部分是来自于外部,如Url上添加一些字段注入($_GET输入),表单的提交注入(一般为$_POST),所以在接收数据时对数据进行过滤,是很有必要的。

  一.  一般php自带的过滤方法有:

    1.空过滤

     trim过滤字符串首尾空格

$name = trim($_POST['name']);

    2.标签过滤 : 

     strip_tags会将字符串中的php标签(<?php ?>)Html标签(<h1></h1><script></script>....等)移除。一定程序上阻止了恶意注入。

//for example:
$_POST['name'] = "<script>alert('hehe');</script>";
var_dump($_POST['name']);//弹出信息框 'hehe'
$name = strip_tags($_POST['name']);
var_dump($name);  //string(14"alert('hehe');"

  3.转数据类型

   若知道要接收的数据是整形或浮点形,可以直接转数据类型。

//转整形 
$number = intval($_POST['number']);
$price  = floatval($_POST['price']);

   4.移除xss攻击(跨站脚本攻击)

    xss攻击有时会把标签转换成其他数据,strip_tags防止不了,

    ThinkPHP中有个remove_xss方法,可以将大部分xss攻击阻止。这方法在 ./ThinkPHP/Extend/Function/extend.php中,为了方便使用,可以放到项目的common.php里。

    方法如下

    

/**
 * @from extend.php
 * 过滤xss攻击
 * @param str $val
 * @return mixed
 */
function remove_xss($val) {
	// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
	// this prevents some character re-spacing such as <java\0script>
	// note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
	$val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/''', $val);

	// straight replacements, the user should never need these since they're normal characters
	// this prevents like <IMG SRC=@avascript:alert('XSS')>
	$search = 'abcdefghijklmnopqrstuvwxyz';
	$search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
	$search .= '1234567890!@#$%^&*()';
	$search .= '~`";:?+/={}[]-_|\'\\';
	for ($i = 0; $i < strlen($search); $i++) {
		// ;? matches the ;, which is optional
		// 0{0,7} matches any padded zeros, which are optional and go up to 8 chars

		// @ @ search for the hex values
		$val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
		// @ @ 0{0,7} matches '0' zero to seven times
		$val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
	}

	// now the only remaining whitespace attacks are \t, \n, and \r
	$ra1 = array('javascript''vbscript''expression''applet''meta''xml''blink''link''style''script',
	              'embed''object''iframe''frame''frameset''ilayer''layer''bgsound''title''base');
	$ra2 = array('onabort''onactivate''onafterprint''onafterupdate''onbeforeactivate''onbeforecopy''onbeforecut',
	         'onbeforedeactivate''onbeforeeditfocus''onbeforepaste''onbeforeprint''onbeforeunload''onbeforeupdate', 
	         'onblur''onbounce''oncellchange''onchange''onclick''oncontextmenu''oncontrolselect''oncopy''oncut',
	         'ondataavailable''ondatasetchanged''ondatasetcomplete''ondblclick''ondeactivate''ondrag''ondragend',
	         'ondragenter''ondragleave''ondragover''ondragstart''ondrop''onerror''onerrorupdate''onfilterchange',
	         'onfinish''onfocus''onfocusin''onfocusout''onhelp''onkeydown''onkeypress''onkeyup''onlayoutcomplete',
	         'onload''onlosecapture''onmousedown''onmouseenter''onmouseleave''onmousemove''onmouseout''onmouseover',
	         'onmouseup''onmousewheel''onmove''onmoveend''onmovestart''onpaste''onpropertychange','onreadystatechange',
	         'onreset''onresize''onresizeend''onresizestart''onrowenter''onrowexit''onrowsdelete''onrowsinserted', 
	         'onscroll''onselect''onselectionchange''onselectstart''onstart''onstop''onsubmit''onunload');
	$ra = array_merge($ra1, $ra2);

	$found = true// keep replacing as long as the previous round replaced something
	while ($found == true) {
		$val_before = $val;
		for ($i = 0; $i < sizeof($ra); $i++) {
			$pattern = '/';
			for ($j = 0; $j < strlen($ra[$i]); $j++) {
				if ($j > 0) {
					$pattern .= '(';
					$pattern .= '(&#[xX]0{0,8}([9ab]);)';
					$pattern .= '|';
					$pattern .= '|(&#0{0,8}([9|10|13]);)';
					$pattern .= ')*';
				}
				$pattern .= $ra[$i][$j];
			}
			$pattern .= '/i';
			$replacement = substr($ra[$i], 02).'<x>'.substr($ra[$i], 2); // add in <> to nerf the tag
			$val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
			if ($val_before == $val) {
				// no replacements were made, so exit the loop
				$found = false;
			}
		}
	}
	return $val;
}

   调用时如下

$name = remove_xss($_POST['name']);

 5.保存文章内容类转义

       使用kindeditor之类的内容编辑器时,因为提交到后台时是以Html形式提交的,而且需要保存到数据库,为了防止sql注入,需要在进数据库前进行特殊字符转义,这时用过滤标签的方法或各类的方法都不适合。只能对标签和特殊符号进行转义,这时使用到的方法是addslashes。

        addslashes在使用前先检查一下,php是否自动开启了自动转义。用get_magic_quotes_gpc()方法判断,如果已开,则是true,否为false。

    if(!get_magic_quotes_gpc()){
     $content = addslashes($_POST['content']);
    }else{
      $content$_POST['content'];
    }

         这样就完成了转义,然而在展示页面,从数据库拿出来的内容是经过转义的html,如果直接展示,html标签等都识别不到,会直接输出转义过的字符串。这时需要用反转义来还原数据。如下

echo stripslashes($content);
zl20117
关注
专栏目录
PHP安全过滤用户输入
捉虫大师
05-21 1553
/** * 安全过滤函数 * */ function public_safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27','',$string); $string = str_rep
php字符串过滤与替换小结
10-24
字符串过滤通常用于清理输入或输出内容,以防止安全漏洞,例如跨站脚本攻击(XSS)。字符串替换则是将文本中的某些字符或字符串按照指定的规则替换成其他的字符或字符串。 从给定的文件内容中,我们可以提取以下PHP...
PHP用户输入数据进行过滤
weixin_30498807的博客
12-25 314
1.在表单中,input项,如果用户输入的是英文状态下的双引号或单引号,数据保存后。以后又在后台编辑的时候,<input value=" "这是带引号的值,因为引号导致问题" " ...>因为双引号或单引号的原因,发现数据“丢失”。 2.因此要将输入数据中引号变成html实体。 3.怎么变?答曰:htmlentities //php 5.2.6 $text ...
php过滤输入,php过滤输入
weixin_39753791的博客
03-10 141
function s($str){$html_string = array("&", "", "'", '"', "", "\t", "\r");$html_clear = array("&", " ", "'", """, "", " ", "");$js_string = array("//isU");$js_clear = array("");$frame_strin...
php输入框怎么过滤%号,PHP安全编程:过滤用户输入
weixin_42514537的博客
03-10 167
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。我所指的过滤输入是指三个不同的步骤:识别输入过滤输入区分已过滤及被污染数据把识别输入作为第一步是因为如果你不知道它是什么,你也就不能正确地过滤它。输入是指所有源自外部的数据。例如,...
PHP中字符安全过滤函数使用小结
10-24
在进行Web开发时,尤其是涉及用户输入数据处理时,安全是开发过程中必须重点关注的方面。在众多安全问题中,SQL注入攻击和跨站脚本攻击(XSS)是最为常见且危险的攻击类型。在PHP语言中,为了防范这些安全威胁,内置...
PHP 编程安全性小结
12-17
**规则 1:绝不要信任外部数据或输入** 这是Web安全的基础,任何来源于用户或其他非程序员控制的数据源(如GET、POST、数据库、配置文件、会话或cookie)都不能被视为安全。为了确保安全,需要对所有外部输入进行...
PHP中字符平安过滤函数用法小结_.docx
10-09
PHP编程中,确保字符安全至关重要,因为不安全的用户输入可能导致诸如SQL注入和跨站脚本(XSS)等严重安全问题。本文将详细总结几种PHP中的字符安全过滤函数,帮助开发者保护应用程序免受此类攻击。 首先,`mysql...
php 用户输入过滤,PHP用户输入数据如何进行过滤?(代码示例)
weixin_34338129的博客
03-24 484
本篇文章给大家带来的内容是关于PHP用户输入数据如何进行过滤?(代码示例),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。1、在表单中,input项,如果用户输入的是英文状态下的双引号或单引号,数据保存后。以后又在后台编辑的时候,因为双引号或单引号的原因,发现数据“丢失”。2、因此要将输入数据中引号变成html实体。3、怎么变?答曰:htmlentities//php 5.2.6$...
PHP 过滤敏感词 工具
03-29
PHP 过滤敏感词 工具。 过滤敏感词工具 敏感词 过滤 过滤敏感词
mysql 注入过滤
aini6223017的博客
03-11 246
//表单过滤public function _safe($str) { $html_string = array("&amp;", "&nbsp;", "'", '"', "<", ">", "\t", "\r"); $html_clear = array("&", " ", "&#39;", "&quot;", "&amp...
php用户输入过滤,php-根据用户输入过滤结果
weixin_42301009的博客
04-12 82
我目前正在研究一种“列表”,用户可以在其中输入不同的数据以创建各种活动(特别是在模拟器中)的日志.我已经掌握了它的基础知识,并且实际上已经完全运行起来了,但是,仍然有一个组件对我来说很关键.这样,用户还可以搜索路线的作者.因此,如下所示:名称-距离-日期鲍勃-100公里-2015年1月1日琼斯-200公里-2015年1月1日琼斯-250公里-2015年1月1日这实际上是用户会看到的列表.如果用户输...
php数据过滤类,php 字符过滤类,用于过滤各类用户输入的数据
weixin_39621178的博客
04-12 134
详细代码如下:复制代码代码如下:abstractclassFilter{//filterparentclassprivate$blackstr=array();private$whitestr=array();functionfiltit($str){//dosomething}}classLoginFilterextendsFilter{//foruserloginfilteusername(过...
php 过滤表单输入
antonio513的博客
02-10 185
function test_input($data){ $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data; } 使用 PHP trim() 函数去除用户输入数据中不必要的字符 (如:空格,tab,换行)。 使用PHP str...
php强大的filter过滤用户输入
weixin_30954607的博客
02-25 306
<?php $filters = array                    //定义过滤的数组 ( "name" => array ( "filter"=>FILTER_SANITIZE_STRING ), "age" => array ( "filter"=>FIL...
php过滤输入,php中使用过滤功能的输入验证
weixin_35480435的博客
03-10 136
PHP过滤功能可能不性感,但如果你学会了如何正确地使用它们,它们可以改善的稳定性,安全性,甚至你的代码的可维护性。在以下的内容中将解释为什么输入验证是非常重要的,重要的是为什么使用内置函数执行输入验证PHPS,然后扔在一起的一些例子(即使用filter_input()和filter_var() ),讨论了一些潜在的隐患。为什么要输入验证是非常重要输入验证是其中一个最重要的事情可以做,以确保代码...
php查询过滤字段,php 字符过滤类,用于过滤各类用户输入的数据
weixin_39577964的博客
03-09 150
详细代码如下:abstract class Filter { //filter parent classprivate $blackstr = array();private $whitestr = array();function filtit($str) {//do something}}class LoginFilter extends Filter { //for user login f...
php 常用过滤
weixin_33670713的博客
12-01 116
//$str = '汉hah子abc---ABC123_-'; // ////if(!preg_match("/^[".chr(0xa1)."-".chr(0xff)."A-Za-z0-9_]+$/",$str)) //GB2312汉字字母数字下划线正则表达式 //if(!preg_match('#^[\x{4e00}-\x{9fa5}A-...
PHP Filter深度解析:验证与过滤用户输入
输入过滤是防御这些攻击的关键措施之一,可以显著降低安全漏洞的风险。 PHP Filter提供的功能: 1. filter_var():这个函数用于过滤单个变量,接受一个变量和过滤器标识符作为参数,根据指定的过滤器进行验证或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值