PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】

php  /  管理员 发布于 7年前   171

本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考，具体如下：

防XSS攻击代码：

/** * 安全过滤函数 * * @param $string * @return string */function safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27','',$string); $string = str_replace('%2527','',$string); $string = str_replace('*','',$string); $string = str_replace('"','"',$string); $string = str_replace("'",'',$string); $string = str_replace('"','',$string); $string = str_replace(';','',$string); $string = str_replace('<','<',$string); $string = str_replace('>','>',$string); $string = str_replace("{",'',$string); $string = str_replace('}','',$string); $string = str_replace('\\','',$string); return $string;}

代码实例：

 （大于）成为 > return quotes(htmlspecialchars(trim($str)));}//防sql注入function quotes($content){ //if $content is an array if (is_array($content)) {  foreach ($content as $key=>$value)  {   //$content[$key] = mysql_real_escape_string($value);   /*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。   预定义字符是：   单引号（'）   双引号（"）   反斜杠（\）   NULL */   $content[$key] = addslashes($value);  } } else {  //if $content is not an array  //$content=mysql_real_escape_string($content);  $content=addslashes($content); } return $content;}?>

//过滤sql注入function filter_injection(&$request){ $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i"; foreach($request as $k=>$v) {    if(preg_match($pattern,$k,$match))    {      die("SQL Injection denied!");    }    if(is_array($v))    {     filter_injection($request[$k]);    }    else    {     if(preg_match($pattern,$v,$match))     {      die("SQL Injection denied!");     }    } }}

防sql注入：

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响：

\x00
\n
\r
'
”
\x1a

如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

语法

mysql_real_escape_string(string,connection)

参数	描述
string 必需。	规定要转义的字符串。
connection 可选。	规定 MySQL 连接。如果未规定，则使用上一个连接。

对于纯数字或数字型字符串的校验可以用

is_numeric()检测变量是否为数字或数字字符串

实例：

is_array ― 检测变量是否是数组
bool is_array ( mixed $var )
如果 var 是 array，则返回 TRUE，否则返回 FALSE。

is_dir 判断给定文件名是否是一个目录
bool is_dir ( string $filename )
判断给定文件名是否是一个目录。
如果文件名存在，并且是个目录，返回 TRUE，否则返回FALSE。

is_file ― 判断给定文件名是否为一个正常的文件
bool is_file ( string $filename )
判断给定文件名是否为一个正常的文件。
如果文件存在且为正常的文件则返回 TRUE，否则返回 FALSE。
Note:
因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型，对 2GB 以上的文件，一些文件系统函数可能返回无法预期的结果 。

is_bool ― 检测变量是否是布尔型
bool is_bool ( mixed $var )
如果 var 是 boolean 则返回 TRUE。

is_string ― 检测变量是否是字符串
bool is_string ( mixed $var )
如果 var 是 string 则返回 TRUE，否则返回 FALSE。

is_int ― 检测变量是否是整数
bool is_int ( mixed $var )
如果 var 是 integer 则返回 TRUE，否则返回 FALSE。
Note:
若想测试一个变量是否是数字或数字字符串（如表单输入，它们通常为字符串），必须使用 is_numeric()。

is_float ― 检测变量是否是浮点型
bool is_float ( mixed $var )
如果 var 是 float 则返回 TRUE，否则返回 FALSE。
Note:
若想测试一个变量是否是数字或数字字符串（如表单输入，它们通常为字符串），必须使用 is_numeric()。

is_null ― 检测变量是否为 NULL
bool is_null ( mixed $var )
如果 var 是 null 则返回 TRUE，否则返回 FALSE。

is_readable ― 判断给定文件名是否可读
bool is_readable ( string $filename )
判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE，否则返回 FALSE。

is_writable ― 判断给定的文件名是否可写
bool is_writable ( string $filename )
如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。

file_exists ― 检查文件或目录是否存在
bool file_exists ( string $filename )
检查文件或目录是否存在。
在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。
如果由 filename 指定的文件或目录存在则返回 TRUE，否则返回 FALSE。

is_executable ― 判断给定文件名是否可执行
bool is_executable ( string $filename )
判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE，错误时返回FALSE。

更多关于PHP相关内容感兴趣的读者可查看本站专题：《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

您可能感兴趣的文章:

• Php中用PDO查询Mysql来避免SQL注入风险的方法
• php+mysql注入页面实现
• 防止MySQL注入或HTML表单滥用的PHP程序
• PHP MYSQL注入攻击需要预防7个要点
• php mysql_real_escape_string addslashes及mysql绑定参数防SQL注入攻击
• PHP简单实现防止SQL注入的方法
• PHP简单预防sql注入的方法
• PHP中防止SQL注入方法详解
• php中$_GET与$_POST过滤sql注入的方法
• PHP+mysql防止SQL注入的方法小结