程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
設為首頁 加入收藏
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> php過濾特殊危險字符的總結

php過濾特殊危險字符的總結

編輯:關於PHP編程

php過濾特殊危險字符的總結


一般,對於傳進來的字符,php教程可以用addslashes函數處理一遍(要get_magic_quotes_gpc()為假才處理,不然就重復轉義了!),這樣就能達到一定程度的安全要求
比如這樣


代碼如下 復制代碼
if (!get_magic_quotes_gpc()) {
add_slashes($_GET);
add_slashes($_POST);
add_slashes($_COOKIE);
}

function add_slashes($string) {
if (is_array($string)) {
foreach ($string as $key => $value) {
$string[$key] = add_slashes($value);
}
} else {
$string = addslashes($string);
}
return $string;
}



但是還可以更進一步進行重新編碼,解碼,如下:


代碼如下 復制代碼
//編碼


function htmlencode($str) {
if(empty($str)) return;
if($str=="") return $str;
$str=trim($str);
$str=str_replace("&","&",$str);
$str=str_replace(">",">",$str);
$str=str_replace("<","<",$str);
$str=str_replace(chr(32)," ",$str);
$str=str_replace(chr(9)," ",$str);
$str=str_replace(chr(34),"&",$str);
$str=str_replace(chr(39),"'",$str);
$str=str_replace(chr(13),"<br />",$str);
$str=str_replace("'","''",$str);
$str=str_replace("select","select",$str);
$str=str_replace("join","join",$str);
$str=str_replace("union","union",$str);
$str=str_replace("where","where",$str);
$str=str_replace("insert","insert",$str);
$str=str_replace("delete","delete",$str);
$str=str_replace("update","update",$str);
$str=str_replace("like","like",$str);
$str=str_replace("drop","drop",$str);
$str=str_replace("create","create",$str);
$str=str_replace("modify","modify",$str);
$str=str_replace("rename","rename",$str);
$str=str_replace("alter","alter",$str);
$str=str_replace("cast","cas",$str);
return $str;
}



這樣就能更放心的對外來數據進行入庫處理了, 但是從數據庫取出來,在前台顯示的時候,必須重新解碼一下:


代碼如下 復制代碼
//解碼


function htmldecode($str) {
if(empty($str)) return;
if($str=="") return $str;
$str=str_replace("select","select",$str);
$str=str_replace("join","join",$str);
$str=str_replace("union","union",$str);
$str=str_replace("where","where",$str);
$str=str_replace("insert","insert",$str);
$str=str_replace("delete","delete",$str);
$str=str_replace("update","update",$str);
$str=str_replace("like","like",$str);
$str=str_replace("drop","drop",$str);
$str=str_replace("create","create",$str);
$str=str_replace((www.111cn.net)"modify","modify",$str);
$str=str_replace("rename","rename",$str);
$str=str_replace("alter","alter",$str);
$str=str_replace("cas","cast",$str);
$str=str_replace("&","&",$str);
$str=str_replace(">",">",$str);
$str=str_replace("<","<",$str);
$str=str_replace(" ",chr(32),$str);
$str=str_replace(" ",chr(9),$str);
$str=str_replace("&",chr(34),$str);
$str=str_replace("'",chr(39),$str);
$str=str_replace("<br />",chr(13),$str);
$str=str_replace("''","'",$str);
return $str;
}



雖然多了一步編碼,解碼的過程,但是安全方面,會更進一步,要如何做,自己取捨吧。


再附一些


代碼如下 復制代碼
function safe_replace($string) {
$string = str_replace(' ','',$string);
$string = str_replace(''','',$string);
$string = str_replace(''','',$string);
$string = str_replace('*','',$string);
$string = str_replace('"','"',$string);
$string = str_replace("'",'',$string);
$string = str_replace('"','',$string);
$string = str_replace(';','',$string);
$string = str_replace('<','<',$string);
$string = str_replace('>','>',$string);
$string = str_replace("{",'',$string);
$string = str_replace('}','',$string);
return $string;
}



更全面的


代碼如下 復制代碼
//處理提交的數據
function htmldecode($str) {
if (empty ( $str ) || "" == $str) {
return "";
}

$str = strip_tags ( $str );
$str = htmlspecialchars ( $str );
$str = nl2br ( $str );
$str = str_replace ( "?", "", $str );
$str = str_replace ( "*", "", $str );
$str = str_replace ( "!", "", $str );
$str = str_replace ( "~", "", $str );
$str = str_replace ( "$", "", $str );
$str = str_replace ( "%", "", $str );
$str = str_replace ( "^", "", $str );
$str = str_replace ( "^", "", $str );
$str = str_replace ( "select", "", $str );
$str = str_replace ( "join", "", $str );
$str = str_replace ( "union", "", $str );
$str = str_replace ( "where", "", $str );
$str = str_replace ( "insert", "", $str );
$str = str_replace ( "delete", "", $str );
$str = str_replace ( "update", "", $str );
$str = str_replace ( "like", "", $str );
$str = str_replace ( "drop", "", $str );
$str = str_replace ( "create", "", $str );
$str = str_replace ( "modify", "", $str );
$str = str_replace ( "rename", "", $str );
$str = str_replace ( "alter", "", $str );
$str = str_replace ( "cast", "", $str );

$farr = array ("//s+/", //過濾多余的空白
"/<(//?)(img|script|i?frame|style|html|body|title|link|meta|/?|/%)([^>]*?)>/isU", //過濾 <script 防止引入惡意內容或惡意代碼,如果不需要插入flash等,還可以加入]*)on[a-zA-Z]+/s*=([^>]*>)/isU" )//過濾javascript的on事件
;
$tarr = array (" ", "", //如果要直接清除不安全的標簽,這裡可以留空
"" );
return $str;
}

from:http://www.111cn.net/phper/phpanqn/55876.htm

  1. 上一頁:
  2. 下一頁:
關於PHP編程
Zend Studio 7.2.1 for Windows and keygen

Zend Studio是Zend Technologies開
PHP如何用正則取得所有圖片的路徑

問題:  如下面內容,兩個問題: 1、用正則取得所
Winodws下IIS/Apache+PHP+MySQL的安裝配置

  引言  PHP的執行效率是有目共睹的,這也是我
PHP新手必讀:全方面了解和學習PHP框架(1)

PHP新手必讀:全方面了解和學習PHP框架(1) PHP成為
php自動加載機制的深入分析

一、php中實現自動加載的方法1.使用require,in
PHP中使用GD庫繪制折線圖 折線統計圖的繪制方法,gd折線

PHP中使用GD庫繪制折線圖 折線統計圖的繪制方法,gd折線
相關文章
閱讀排行榜
如何實現PHP抓取天氣預報的功能 深入分析PHP引用(&),深入分析php引用 php文件操作小結(刪除指定文件/獲取文件夾下的文件名/讀取文件夾下圖片名), 關於PHP結束標簽?&gt;的使用細節 PHP mysql_field_type()函數 php 網頁ftp 代碼一 一個簡單的php加密解密函數(動態加密) 用PHP開發健壯的代碼二有效地使用變量 php循環輸出數據庫內容的代碼 PHP獲取文件擴展名的4種方法, 在ubuntu下安裝phpmyadmin 出現404錯誤
熱門圖文
uva10285 - Longest Run on a Snowboard(記憶化搜索) csharp: Aspose.Words create table,csharpaspose.words php中include require utf-8文件時出現空格 JSP簡單練習-EL獲取表單數據 c++編寫字符串編碼類 sqlite數據庫檢索,sqlite數據庫 用Delphi編制金額大寫轉換程序 漫談C#編程中的多態與new關鍵字
欄目導航
PHP基礎知識PHP綜合PHP入門知識關於PHP編程
Copyright © 程式師世界 All Rights Reserved