php 參數過濾、數據過濾詳解

2024-05-04 23:39:48

字體：大中小

來源：轉載

供稿：網友

這篇文章給大家介紹php參數過濾及php數據過濾，包括php提交數據過濾的基本原則，php簡單的數據過濾，感興趣的朋友一起學習吧

下面通過一段代碼給大家介紹php參數過濾

class mysafe{

public $logname;

public $isshwomsg;

function __construct(){

set_error_handler('MyError',E_ALL);

//-----

}

function MyError($errno, $errstr, $errfile, $errline){

echo "Error number: [$errno],error on line $errline in $errfile ";

exit;

}

function wlog($logs){

if(emptyempty($logname)){

$this->logname=$_SERVER["DOCUMENT_ROOT"]."/log.htm";

}

$Ts=fopen($this->logname,"a+");

fputs($Ts,$logs."/r/n");

fclose($Ts);

}

function showmsg($msg='',$flag=false){

$this->isshwomsg=emptyempty($this->isshwomsg) ? false : true;

if ($this->isshwomsg) {

echo ' -------------------------------------- ';

echo $msg;

echo ' -------------------------------------- ';

if ($flag) exit;

}

}

function get_filter(){

$getfilter="'|(and|or)//b.+?(>|<|=|in|like)|/////*.+?//*///|<//s*script//b|//bEXEC//b|UNION.+?SELECT|UPDATE.+?SET|INSERT//s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)//s+(TABLE|DATABASE)";

foreach($_GET as $key=>$value){

$this->StopAttack($key,$value,$getfilter);

}

}

function post_filter(){

$postfilter="//b(and|or)//b.{1,6}?(=|>|<|//bin//b|//blike//b)|/////*.+?//*///|<//s*script//b|//bEXEC//b|UNION.+?SELECT|UPDATE.+?SET|INSERT//s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)//s+(TABLE|DATABASE)";

foreach($_POST as $key=>$value){

$this->StopAttack($key,$value,$postfilter);

}

}

function cookie_filter(){

$cookiefilter="//b(and|or)//b.{1,6}?(=|>|<|//bin//b|//blike//b)|/////*.+?//*///|<//s*script//b|//bEXEC//b|UNION.+?SELECT|UPDATE.+?SET|INSERT//s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)//s+(TABLE|DATABASE)";

foreach($_COOKIE as $key=>$value){

$this->StopAttack($key,$value,$cookiefilter);

}

}

//過濾參數

function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){

if(is_array($StrFiltValue)){

$StrFiltValue=implode($StrFiltValue);

}

if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){

$msg=" 操作IP: ".$_SERVER["REMOTE_ADDR"]." 操作時間: ".strftime("%Y-%m-%d %H:%M:%S")." 操作頁面:".$_SERVER["PHP_SELF"]." 提交方式: ".$_SERVER["REQUEST_METHOD"]." 提交參數: ".$StrFiltKey." 提交數據: ".$StrFiltValue;

$this->wlog($msg);

$this->showmsg($msg);

exit();

}

}

function filter_value_for_sql($str){

$str = str_replace("and","",$str);

$str = str_replace("execute","",$str);

$str = str_replace("update","",$str);

$str = str_replace("count","",$str);

$str = str_replace("chr","",$str);

$str = str_replace("mid","",$str);

$str = str_replace("master","",$str);

$str = str_replace("truncate","",$str);

$str = str_replace("char","",$str);

$str = str_replace("declare","",$str);

$str = str_replace("select","",$str);

$str = str_replace("create","",$str);

$str = str_replace("delete","",$str);

$str = str_replace("insert","",$str);

$str = str_replace("'","",$str);

$str = str_replace('"',"",$str);

$str = str_replace(" ","",$str);

$str = str_replace("or","",$str);

$str = str_replace("=","",$str);

$str = str_replace(" ","",$str);

return $str;

}

//class end

}

下面給大家介紹下PHP數據過濾

1、php提交數據過濾的基本原則

1)提交變量進數據庫時，我們必須使用addslashes()進行過濾，像我們的注入問題，一個addslashes()也就搞定了。其實在涉及到變量取值時，intval()函數對字符串的過濾也是個不錯的選擇。

2)在php.ini中開啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引號變為斜杠。magic_quotes_runtime對于進出數據庫的數據可以起到格式話的作用。其實，早在以前注入很瘋狂時，這個參數就很流行了。

3)在使用系統函數時，必須使用escapeshellarg(),escapeshellcmd()參數去過濾，這樣你也就可以放心的使用系統函數。

4)對于跨站，strip_tags(),htmlspecialchars()兩個參數都不錯，對于用戶提交的的帶有html和php的標記都將進行轉換。比如尖括號"<"就將轉化為 "<"這樣無害的字符。

$new = htmlspecialchars("Test", ENT_QUOTES);

strip_tags($text,);

5)對于相關函數的過濾，就像先前的include(),unlink,fopen()等等，只要你把你所要執行操作的變量指定好或者對相關字符過濾嚴密，我想這樣也就無懈可擊了。

2、PHP簡單的數據過濾

1)入庫: trim($str),addslashes($str)

2)出庫: stripslashes($str)

3)顯示: htmlspecialchars(nl2br($str))

上一篇：php實現CSV文件導入和導出

下一篇：php解析url并得到url中的參數及獲取url參數的四種方式