快捷導(dǎo)航

PHP實(shí)現(xiàn)表單提交數(shù)據(jù)的驗(yàn)證處理功能【防SQL注入和XSS攻擊等】

更新時(shí)間：2017年07月21日 11:33:56 作者：3wlog

這篇文章主要介紹了PHP實(shí)現(xiàn)表單提交數(shù)據(jù)的驗(yàn)證處理功能,可實(shí)現(xiàn)防SQL注入和XSS攻擊等,涉及php字符處理、編碼轉(zhuǎn)換相關(guān)操作技巧,需要的朋友可以參考下

本文實(shí)例講述了PHP實(shí)現(xiàn)表單提交數(shù)據(jù)的驗(yàn)證處理功能。分享給大家供大家參考，具體如下：

防XSS攻擊代碼：

/**
 * 安全過(guò)濾函數(shù)
 *
 * @param $string
 * @return string
 */
function safe_replace($string) {
 $string = str_replace('%20','',$string);
 $string = str_replace('%27','',$string);
 $string = str_replace('%2527','',$string);
 $string = str_replace('*','',$string);
 $string = str_replace('"','&quot;',$string);
 $string = str_replace("'",'',$string);
 $string = str_replace('"','',$string);
 $string = str_replace(';','',$string);
 $string = str_replace('<','&lt;',$string);
 $string = str_replace('>','&gt;',$string);
 $string = str_replace("{",'',$string);
 $string = str_replace('}','',$string);
 $string = str_replace('\\','',$string);
 return $string;
}

代碼實(shí)例：

<?php
$user_name = strim($_REQUEST['user_name']);
function strim($str)
{
 //trim() 函數(shù)移除字符串兩側(cè)的空白字符或其他預(yù)定義字符。
 //htmlspecialchars() 函數(shù)把預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體(防xss攻擊)。
 //預(yù)定義的字符是：
 //& （和號(hào)）成為 &amp;
 //" （雙引號(hào)）成為 &quot;
 //' （單引號(hào)）成為 '
 //< （小于）成為 &lt;
 //> （大于）成為 &gt;
 return quotes(htmlspecialchars(trim($str)));
}
//防sql注入
function quotes($content)
{
 //if $content is an array
 if (is_array($content))
 {
  foreach ($content as $key=>$value)
  {
   //$content[$key] = mysql_real_escape_string($value);
   /*addslashes() 函數(shù)返回在預(yù)定義字符之前添加反斜杠的字符串。
   預(yù)定義字符是：
   單引號(hào)（'）
   雙引號(hào)（"）
   反斜杠（\）
   NULL */
   $content[$key] = addslashes($value);
  }
 } else
 {
  //if $content is not an array
  //$content=mysql_real_escape_string($content);
  $content=addslashes($content);
 }
 return $content;
}
?>

//過(guò)濾sql注入
function filter_injection(&$request)
{
 $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";
 foreach($request as $k=>$v)
 {
    if(preg_match($pattern,$k,$match))
    {
      die("SQL Injection denied!");
    }
    if(is_array($v))
    {
     filter_injection($request[$k]);
    }
    else
    {
     if(preg_match($pattern,$v,$match))
     {
      die("SQL Injection denied!");
     }
    }
 }
}

防sql注入：

mysql_real_escape_string() 函數(shù)轉(zhuǎn)義 SQL 語(yǔ)句中使用的字符串中的特殊字符。

下列字符受影響：

\x00
\n
\r
'
”
\x1a

如果成功，則該函數(shù)返回被轉(zhuǎn)義的字符串。如果失敗，則返回 false。

語(yǔ)法

mysql_real_escape_string(string,connection)

參數(shù)	描述
string 必需。	規(guī)定要轉(zhuǎn)義的字符串。
connection 可選。	規(guī)定 MySQL 連接。如果未規(guī)定，則使用上一個(gè)連接。

對(duì)于純數(shù)字或數(shù)字型字符串的校驗(yàn)可以用

is_numeric()檢測(cè)變量是否為數(shù)字或數(shù)字字符串

實(shí)例：

<?php 
function get_numeric($val) { 
 if (is_numeric($val)) { 
 return $val + 0; 
 } 
 return 0; 
} 
?>

is_array — 檢測(cè)變量是否是數(shù)組
bool is_array ( mixed $var )如果 var 是 array，則返回 TRUE，否則返回 FALSE。

is_dir 判斷給定文件名是否是一個(gè)目錄
bool is_dir ( string $filename )判斷給定文件名是否是一個(gè)目錄。
如果文件名存在，并且是個(gè)目錄，返回 TRUE，否則返回FALSE。

is_file — 判斷給定文件名是否為一個(gè)正常的文件
bool is_file ( string $filename )判斷給定文件名是否為一個(gè)正常的文件。
如果文件存在且為正常的文件則返回 TRUE，否則返回 FALSE。
Note:
因?yàn)?PHP 的整數(shù)類型是有符號(hào)整型而且很多平臺(tái)使用 32 位整型，對(duì) 2GB 以上的文件，一些文件系統(tǒng)函數(shù)可能返回?zé)o法預(yù)期的結(jié)果。

is_bool — 檢測(cè)變量是否是布爾型
bool is_bool ( mixed $var )如果 var 是 boolean 則返回 TRUE。

is_string — 檢測(cè)變量是否是字符串
bool is_string ( mixed $var )如果 var 是 string 則返回 TRUE，否則返回 FALSE。

is_int — 檢測(cè)變量是否是整數(shù)
bool is_int ( mixed $var )如果 var 是 integer 則返回 TRUE，否則返回 FALSE。
Note:
若想測(cè)試一個(gè)變量是否是數(shù)字或數(shù)字字符串（如表單輸入，它們通常為字符串），必須使用 is_numeric()。

is_float — 檢測(cè)變量是否是浮點(diǎn)型
bool is_float ( mixed $var )如果 var 是 float 則返回 TRUE，否則返回 FALSE。
Note:
若想測(cè)試一個(gè)變量是否是數(shù)字或數(shù)字字符串（如表單輸入，它們通常為字符串），必須使用 is_numeric()。

is_null — 檢測(cè)變量是否為 NULL
bool is_null ( mixed $var )如果 var 是 null 則返回 TRUE，否則返回 FALSE。

is_readable — 判斷給定文件名是否可讀
bool is_readable ( string $filename )判斷給定文件名是否存在并且可讀。如果由 filename 指定的文件或目錄存在并且可讀則返回 TRUE，否則返回 FALSE。

is_writable — 判斷給定的文件名是否可寫
bool is_writable ( string $filename )如果文件存在并且可寫則返回 TRUE。filename 參數(shù)可以是一個(gè)允許進(jìn)行是否可寫檢查的目錄名。

file_exists — 檢查文件或目錄是否存在
bool file_exists ( string $filename )檢查文件或目錄是否存在。
在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 來(lái)檢查網(wǎng)絡(luò)中的共享文件。
如果由 filename 指定的文件或目錄存在則返回 TRUE，否則返回 FALSE。

is_executable — 判斷給定文件名是否可執(zhí)行
bool is_executable ( string $filename )判斷給定文件名是否可執(zhí)行。如果文件存在且可執(zhí)行則返回 TRUE，錯(cuò)誤時(shí)返回FALSE。

更多關(guān)于PHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題：《php程序設(shè)計(jì)安全教程》、《php安全過(guò)濾技巧總結(jié)》、《PHP運(yùn)算與運(yùn)算符用法總結(jié)》、《PHP基本語(yǔ)法入門教程》、《php面向?qū)ο蟪绦蛟O(shè)計(jì)入門教程》、《php字符串(string)用法總結(jié)》、《php+mysql數(shù)據(jù)庫(kù)操作入門教程》及《php常見數(shù)據(jù)庫(kù)操作技巧匯總》

希望本文所述對(duì)大家PHP程序設(shè)計(jì)有所幫助。

您可能感興趣的文章: