前兩天朋友的一個(gè)網(wǎng)站上有人利用php注入提交flash游戲分?jǐn)?shù)，后來找原因才發(fā)現(xiàn)是有一位參數(shù)沒有做數(shù)字判斷導(dǎo)致。

本來保存游戲分?jǐn)?shù)是 game.php?ac=save&fgid=1這個(gè)形式來實(shí)現(xiàn)，在php網(wǎng)頁(yè)里面fgid直接調(diào)用，沒有做任何的過濾。很多人利用在fgid=1后面加一個(gè)字母(fgid=1a)，來實(shí)現(xiàn)一些非法操作。

假如  gamlist table 里面有一個(gè)游戲  fgid為102
select gname from gamelist where fgid='102′;
select gname from gamelist where fgid='102a';
這樣都可以成功的找到游戲名字gname，這就給很多人提供了可乘之機(jī)

建議大家對(duì)關(guān)鍵的參數(shù)必須做過濾。如數(shù)字正則過濾

<?php
$fgid="123";
if(preg_match("/^\d*$/",$fgid))  echo('是數(shù)字');
else  echo('不是數(shù)字');

或者用函數(shù)

if(is_numeric($fgid)) echo('是數(shù)字');
else echo('不是數(shù)字');

網(wǎng)上用來判斷id是否為數(shù)字的方法

$cid = empty($cid)? 1 : intval(preg_replace("/[^-\d]+[^\d]/",'', $cid));

這兩種方法的區(qū)別是  is_numeric小數(shù)也會(huì)認(rèn)為是數(shù)字，而前面正則會(huì)把小數(shù)點(diǎn)當(dāng)作字符。

附一些常用的正則運(yùn)算：

驗(yàn)證數(shù)字：^[0-9]*$
驗(yàn)證n位的數(shù)字：^\d{n}$
驗(yàn)證至少n位數(shù)字：^\d{n,}$
驗(yàn)證m-n位的數(shù)字：^\d{m,n}$
驗(yàn)證零和非零開頭的數(shù)字：^(0|[1-9][0-9]*)$
驗(yàn)證有兩位小數(shù)的正實(shí)數(shù)：^[0-9]+(.[0-9]{2})?$
驗(yàn)證有1-3位小數(shù)的正實(shí)數(shù)：^[0-9]+(.[0-9]{1,3})?$
驗(yàn)證非零的正整數(shù)：^\+?[1-9][0-9]*$
驗(yàn)證非零的負(fù)整數(shù)：^\-[1-9][0-9]*$
驗(yàn)證非負(fù)整數(shù)（正整數(shù) + 0）  ^\d+$
驗(yàn)證非正整數(shù)（負(fù)整數(shù) + 0）  ^((-\d+)|(0+))$
驗(yàn)證長(zhǎng)度為3的字符：^.{3}$
驗(yàn)證由26個(gè)英文字母組成的字符串：^[A-Za-z]+$
驗(yàn)證由26個(gè)大寫英文字母組成的字符串：^[A-Z]+$
驗(yàn)證由26個(gè)小寫英文字母組成的字符串：^[a-z]+$
驗(yàn)證由數(shù)字和26個(gè)英文字母組成的字符串：^[A-Za-z0-9]+$
驗(yàn)證由數(shù)字、26個(gè)英文字母或者下劃線組成的字符串：^\w+$
驗(yàn)證用戶密碼:^[a-zA-Z]\w{5,17}$ 正確格式為：以字母開頭，長(zhǎng)度在6-18之間，只能包含字符、數(shù)字和下劃線。
驗(yàn)證是否含有 ^%&‘,;=?$\” 等字符：[^%&‘,;=?$\x22]+
驗(yàn)證漢字：^[\u4e00-\u9fa5],{0,}$
驗(yàn)證Email地址：^\w+[-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*$
驗(yàn)證InternetURL：^http://([\w-]+\.)+[\w-]+(/[\w-./?%&=]*)?$ ；^[a-zA-z]+://(w+(-w+)*)(.(w+(-w+)*))*(?S*)?$
驗(yàn)證電話號(hào)碼：^(\(\d{3,4}\)|\d{3,4}-)?\d{7,8}$：–正確格式為：XXXX-XXXXXXX，XXXX-XXXXXXXX，XXX-XXXXXXX，XXX-XXXXXXXX，XXXXXXX，XXXXXXXX。
驗(yàn)證身份證號(hào)（15位或18位數(shù)字）：^\d{15}|\d{}18$
驗(yàn)證一年的12個(gè)月：^(0?[1-9]|1[0-2])$ 正確格式為：“01”-“09”和“1”“12”
驗(yàn)證一個(gè)月的31天：^((0?[1-9])|((1|2)[0-9])|30|31)$    正確格式為：01、09和1、31。
整數(shù)：^-?\d+$
非負(fù)浮點(diǎn)數(shù)（正浮點(diǎn)數(shù) + 0）：^\d+(\.\d+)?$
正浮點(diǎn)數(shù)   ^(([0-9]+\.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*\.[0-9]+)|([0-9]*[1-9][0-9]*))$
非正浮點(diǎn)數(shù)（負(fù)浮點(diǎn)數(shù) + 0） ^((-\d+(\.\d+)?)|(0+(\.0+)?))$
負(fù)浮點(diǎn)數(shù)  ^(-(([0-9]+\.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*\.[0-9]+)|([0-9]*[1-9][0-9]*)))$
浮點(diǎn)數(shù)  ^(-?\d+)(\.\d+)?

補(bǔ)充一下：

bool is_numeric ( mixed $var )
如果 var 是數(shù)字和數(shù)字字符串則返回 TRUE，否則返回 FALSE。

For example 1:

<?php
  $v = is_numeric ('58635272821786587286382824657568871098287278276543219876543') ? true : false;
  
  var_dump ($v);
?>

The above script will output:

bool(true)

For example 2:

<?php
$str="0";
$strTest=is_numeric(0);
var_dump($strTest);
?>

boolean true 

is_bool();//判斷是否為布爾型
is_float(); //判斷是否為浮點(diǎn)型
is_int(); //判斷是否為整型
is_numeric(); //判斷是否為數(shù)值型
is_string(); //判斷是否為字符串
is_array(); //判斷是否為數(shù)組
is_object(); //判斷是否為對(duì)象

function int_str($str){
  if(is_numeric($str)){
    $str = 'm'.$str;
  }
  return $str;
}

我們用intval來判斷用戶輸入的信息是否為數(shù)字,這個(gè)可以自動(dòng)轉(zhuǎn)換成數(shù)字,如果是0,返回的值也是假的,在php判斷用戶輸入的是否為數(shù)字型或是否為數(shù)字型字符串,我們會(huì)用到is_numeric與intval函數(shù)來處理.實(shí)例代碼如下:

$num = 1; 
$num1 ='1'; 
$str ='abc'; 
if( is_numeric( $num ) ) 
{ 
  echo $num.'是數(shù)字型'; 
} 
//1是數(shù)字型 
if( is_numeric( $num1) ) 
{ 
  echo $num1.'是數(shù)字型'; 
} 
else
{ 
  echo $num1.'不是數(shù)字型'; 
}

//1是數(shù)字型

第二個(gè)實(shí)例為看還是數(shù)字型呢,這要看php是那類型的語(yǔ)言了,關(guān)鍵是php是弱語(yǔ)言型,所以就會(huì)自動(dòng)把數(shù)字型字符轉(zhuǎn)換成數(shù)字了,實(shí)例代碼如下:

if( intval( $str ) ) 
{ 
  echo $str.'是數(shù)字'; 
} 
else
{ 
  echo $str.'不是數(shù)字'; 
} 
//acd不是數(shù)字 
if( intval( $num1 ) ) 
{ 
  echo $num1.'是數(shù)字'; 
} 
else
{ 
  echo $num1.'不是數(shù)字'; 
} 
//1是數(shù)字

這篇文章就介紹到這了，需要的朋友可以參考一下。

最新評(píng)論