php 参数过滤、数据过滤详解

php  /  管理员 发布于 7年前   250

下面通过一段代码给大家介绍php参数过滤

class mysafe{ public $logname; public $isshwomsg; function __construct(){   set_error_handler('MyError',E_ALL);   //----- } function MyError($errno, $errstr, $errfile, $errline){    echo "Error number: [$errno],error on line $errline in $errfile
";  exit; } function wlog($logs){  if(empty($logname)){   $this->logname=$_SERVER["DOCUMENT_ROOT"]."/log.htm";  }    $Ts=fopen($this->logname,"a+");  fputs($Ts,$logs."\r\n");  fclose($Ts); } function showmsg($msg='',$flag=false){  $this->isshwomsg=empty($this->isshwomsg) ? false : true;  if ($this->isshwomsg) {   echo '
--------------------------------------
';   echo $msg;   echo '
--------------------------------------
';   if ($flag) exit;  }  } function get_filter(){  $getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";  foreach($_GET as $key=>$value){   $this->StopAttack($key,$value,$getfilter);  } } function post_filter(){  $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";  foreach($_POST as $key=>$value){   $this->StopAttack($key,$value,$postfilter);  } } function cookie_filter(){  $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";  foreach($_COOKIE as $key=>$value){   $this->StopAttack($key,$value,$cookiefilter);  } } //过滤参数  function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){  if(is_array($StrFiltValue)){   $StrFiltValue=implode($StrFiltValue);  }   if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){   $msg="

操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue;    $this->wlog($msg);      $this->showmsg($msg);      exit();  }   } function filter_value_for_sql($str){  $str = str_replace("and","",$str);  $str = str_replace("execute","",$str);  $str = str_replace("update","",$str);  $str = str_replace("count","",$str);  $str = str_replace("chr","",$str);  $str = str_replace("mid","",$str);  $str = str_replace("master","",$str);  $str = str_replace("truncate","",$str);  $str = str_replace("char","",$str);  $str = str_replace("declare","",$str);  $str = str_replace("select","",$str);  $str = str_replace("create","",$str);  $str = str_replace("delete","",$str);  $str = str_replace("insert","",$str);  $str = str_replace("'","",$str);  $str = str_replace('"',"",$str);  $str = str_replace(" ","",$str);  $str = str_replace("or","",$str);  $str = str_replace("=","",$str);  $str = str_replace(" ","",$str);   return $str; } //class end}

下面给大家介绍下PHP数据过滤

1、php提交数据过滤的基本原则

1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。
2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。
4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符。
$new = htmlspecialchars("Test", ENT_QUOTES);
strip_tags($text,);
5)对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想这样也就无懈可击了。

2、PHP简单的数据过滤

1)入库:  trim($str),addslashes($str)
2)出库:  stripslashes($str)
3)显示:  htmlspecialchars(nl2br($str))

您可能感兴趣的文章:

  • php 字符过滤类,用于过滤各类用户输入的数据
  • PHP数据过滤的方法
  • php中filter函数验证、过滤用户输入的数据
  • php过滤所有恶意字符(批量过滤post,get敏感数据)
  • php防止sql注入之过滤分页参数实例
  • php判断文件上传类型及过滤不安全数据的方法


  • 上一条:
    日常整理PHP中简单的图形处理(经典)
    下一条:
    php解析url并得到url中的参数及获取url参数的四种方式

    • 昵称:

    邮箱:

    0条评论 (评论内容有缓存机制,请悉知!)
    Top

    Copyright·© 2019 侯体宗版权所有· 粤ICP备20027696号 PHP交流群

    侯体宗的博客