PHP數(shù)據(jù)過(guò)濾函數(shù)的方法

　　PHP是一種 HTML 內(nèi)嵌式的語(yǔ)言，是一種在服務(wù)器端執(zhí)行的嵌入HTML文檔的腳本語(yǔ)言，語(yǔ)言的風(fēng)格有類似于C語(yǔ)言，被廣泛地運(yùn)用。以下是小編為大家搜索整理的PHP數(shù)據(jù)過(guò)濾函數(shù)的方法，希望能給大家?guī)��?lái)幫助!更多精彩內(nèi)容請(qǐng)及時(shí)關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!

　　1、php提交數(shù)據(jù)過(guò)濾的基本原則

　　1)提交變量進(jìn)數(shù)據(jù)庫(kù)時(shí)，我們必須使用addslashes()進(jìn)行過(guò)濾，像我們的注入問(wèn)題，一個(gè)addslashes()也就搞定了。其實(shí)在涉及到變量取值時(shí)，intval()函數(shù)對(duì)字符串的過(guò)濾也是個(gè)不錯(cuò)的選擇。

　　2)在php.ini中開(kāi)啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引號(hào)變?yōu)樾备堋�magic_quotes_runtime對(duì)于進(jìn)出數(shù)據(jù)庫(kù)的數(shù)據(jù)可以起到格式話的作用。其實(shí)，早在以前注入很瘋狂時(shí)，這個(gè)參數(shù)就很流行了。

　　3)在使用系統(tǒng)函數(shù)時(shí)，必須使用escapeshellarg(),escapeshellcmd()參數(shù)去過(guò)濾，這樣你也就可以放心的使用系統(tǒng)函數(shù)。

　　4)對(duì)于跨站，strip_tags(),htmlspecialchars()兩個(gè)參數(shù)都不錯(cuò)，對(duì)于用戶提交的的帶有html和php的標(biāo)記都將進(jìn)行轉(zhuǎn)換。比如尖括號(hào)"<"就將轉(zhuǎn)化為 "<"這樣無(wú)害的字符。

　　代碼如下

　　$new = htmlspecialchars, ENT_QUOTES);

　　strip_tags($text,);

　　5)對(duì)于相關(guān)函數(shù)的過(guò)濾，就像先前的include(),unlink,fopen()等等，只要你把你所要執(zhí)行操作的變量指定好或者對(duì)相關(guān)字符過(guò)濾嚴(yán)密，我想這樣也就無(wú)懈可擊了。

　　2、PHP簡(jiǎn)單的數(shù)據(jù)過(guò)濾

　　1)入庫(kù): trim($str),addslashes($str)

　　2)出庫(kù): stripslashes($str)

　　3)顯示: htmlspecialchars(nl2br($str))

　　看下面的例子以便進(jìn)一步討論dispatch.php腳本:

　　代碼如下

　　/* 全局安全處理 */

　　switch ($_GET['task'])

　　{

　　case 'print_form':

　　include '/inc/presentation/form.inc';

　　break;

　　case 'process_form':

　　$form_valid = false;

　　include '/inc/logic/process.inc';

　　if ($form_valid)

　　{

　　include '/inc/presentation/end.inc';

　　}

　　else

　　{

　　include '/inc/presentation/form.inc';

　　}

　　break;

　　default:

　　include '/inc/presentation/index.inc';

　　break;

　　}

　　?>

　　如果這是唯一的可公開(kāi)訪問(wèn)到的 PHP 腳本，則可以確信的一點(diǎn)是這個(gè)程序的設(shè)計(jì)可以確保在最開(kāi)始的全局安全處理無(wú)法被繞過(guò)。同時(shí)也讓開(kāi)發(fā)者容易看到特定任務(wù)的控制流程。例如，不需要瀏覽整個(gè)代碼就可以容易的知道：當(dāng)$form_valid為true時(shí)，end.inc是唯一顯示給用戶的;由于它在process.inc被包含之前，并剛剛初始化為false，可以確定的是process.inc的內(nèi)部邏輯會(huì)將設(shè)置它為true;否則表單將再次顯示(可能會(huì)顯示相關(guān)的錯(cuò)誤信息)。

　　注意

　　如果你使用目錄定向文件，如index.php(代替dispatch.php)，你可以像這樣使用 URL 地址：http://example.org/?task=print_form。

　　你還可以使用 ApacheForceType重定向或者mod_rewrite來(lái)調(diào)整 URL 地址：http://example.org/app/print-form。

　　包含方法

　　另外一種方式是使用單獨(dú)一個(gè)模塊，這個(gè)模塊負(fù)責(zé)所有的安全處理。這個(gè)模塊被包含在所有公開(kāi)的 PHP 腳本的最前端(或者非�？壳暗牟糠�)。參考下面的腳本security.inc

　　代碼如下

　　switch ($_POST['form'])

　　{

　　case 'login':

　　$allowed = array();

　　$allowed[] = 'form';

　　$allowed[] = 'username';

　　$allowed[] = 'password';

　　$sent = array_keys($_POST);

　　if ($allowed == $sent)

　　{

　　include '/inc/logic/process.inc';

　　}

　　break;

　　}

　　?>

　　在本例中，每個(gè)提交過(guò)來(lái)的表單都認(rèn)為應(yīng)當(dāng)含有form這個(gè)唯一驗(yàn)證值，并且security.inc獨(dú)立處理表單中0需要過(guò)濾的數(shù)據(jù)。實(shí)現(xiàn)這個(gè)要求的 HTML 表單如下所示：叫做$allowed的數(shù)組用來(lái)檢驗(yàn)?zāi)膫�(gè)表單變量是允許的， 這個(gè)列表在表單被處理前應(yīng)當(dāng)是一致的。流程控制決定要執(zhí)行什么，而process.inc是真正過(guò)濾后的數(shù)據(jù)到達(dá)的地方。

　　注意

　　確保security.inc總是被包含在每個(gè)腳本的最開(kāi)始的位置比較好的方法是使用auto_prepend_file設(shè)置。

　　過(guò)濾的例子

　　建立白名單對(duì)于數(shù)據(jù)過(guò)濾是非常重要的。由于不可能對(duì)每一種可能遇到的表單數(shù)據(jù)都給出例子，部分例子可以幫助你對(duì)此有一個(gè)大體的了解。

　　下面的代碼對(duì)郵件地址進(jìn)行了驗(yàn)證：

　　代碼如下

　　$clean = array();

　　$email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';

　　if (preg_match($email_pattern, $_POST['email']))

　　{

　　$clean['email'] = $_POST['email'];

　　}

　　?>

　　下面的代碼確保了$_POST['color']的內(nèi)容是red，green，或者blue：

　　代碼如下

　　$clean = array();

　　switch ($_POST['color'])

　　{

　　case 'red':

　　case 'green':

　　case 'blue':

　　$clean['color'] = $_POST['color'];

　　break;

　　}

　　?>

　　下面的代碼確保$_POST['num']是一個(gè)整數(shù)(integer)：

　　代碼如下

　　$clean = array();

　　if ($_POST['num'] == strval(intval($_POST['num'])))

　　{

　　$clean['num'] = $_POST['num'];

　　}

　　?>

　　下面的代碼確保$_POST['num']是一個(gè)浮點(diǎn)數(shù)(float)：

　　代碼如下

　　$clean = array();

　　if ($_POST['num'] == strval(floatval($_POST['num'])))

　　{

　　$clean['num'] = $_POST['num'];

　　}

　　?>

　　名字轉(zhuǎn)換

　　之前每個(gè)例子都使用了數(shù)組$clean。對(duì)于開(kāi)發(fā)人員判斷數(shù)據(jù)是否有潛在的威脅這是一個(gè)很好的習(xí)慣。 永遠(yuǎn)不要在對(duì)數(shù)據(jù)驗(yàn)證后還將其保存在$_POST或者$_GET中，作為開(kāi)發(fā)人員對(duì)超級(jí)全局?jǐn)?shù)組中保存的數(shù)據(jù)總是應(yīng)當(dāng)保持充分的懷疑。

　　需要補(bǔ)充的是，使用$clean可以幫助思考還有什么沒(méi)有被過(guò)濾，這更類似一個(gè)白名單的作用�？梢蕴嵘�安全的等級(jí)。

　　如果僅僅將驗(yàn)證過(guò)的數(shù)據(jù)保存在$clean，在數(shù)據(jù)驗(yàn)證上僅存的風(fēng)險(xiǎn)是你所引用的數(shù)組元素不存在，而不是未過(guò)濾的危險(xiǎn)數(shù)據(jù)。

　　時(shí)機(jī)

　　一旦 PHP 腳本開(kāi)始執(zhí)行，則意味著 HTTP 請(qǐng)求已經(jīng)全部結(jié)束。此時(shí)，用戶便沒(méi)有機(jī)會(huì)向腳本發(fā)送數(shù)據(jù)。因此，沒(méi)有數(shù)據(jù)可以被輸入到腳本中(甚至register_globals被開(kāi)啟的情況下)。這就是為什么初始化變量是非常好的習(xí)慣。

　　防注入

　　代碼如下

　　//PHP整站防注入程序，需要在公共文件中require_once本文件

　　//判斷magic_quotes_gpc狀態(tài)

　　if (@get_magic_quotes_gpc ()) {

　　$_GET = sec ( $_GET );

　　$_POST = sec ( $_POST );

　　$_COOKIE = sec ( $_COOKIE );

　　$_FILES = sec ( $_FILES );

　　}

　　$_SERVER = sec ( $_SERVER );

　　function sec(&$array) {

　　//如果是數(shù)組，遍歷數(shù)組，遞歸調(diào)用

　　if (is_array ( $array )) {

　　foreach ( $array as $k => $v ) {

　　$array [$k] = sec ( $v );

　　}

　　} else if (is_string ( $array )) {

　　//使用addslashes函數(shù)來(lái)處理

　　$array = addslashes ( $array );

　　} else if (is_numeric ( $array )) {

　　$array = intval ( $array );

　　}

　　return $array;

　　}

　　//整型過(guò)濾函數(shù)

　　function num_check($id) {

　　if (! $id) {

　　die ( '參數(shù)不能為空!' );

　　} //是否為空的判斷

　　else if (inject_check ( $id )) {

　　die ( '非法參數(shù)' );

　　} //注入判斷

　　else if (! is_numetic ( $id )) {

　　die ( '非法參數(shù)' );

　　}

　　//數(shù)字判斷

　　$id = intval ( $id );

　　//整型化

　　return $id;

　　}

　　//字符過(guò)濾函數(shù)

　　function str_check($str) {

　　if (inject_check ( $str )) {

　　die ( '非法參數(shù)' );

　　}

　　//注入判斷

　　$str = htmlspecialchars ( $str );

　　//轉(zhuǎn)換html

　　return $str;

　　}

　　function search_check($str) {

　　$str = str_replace ( "_", "_", $str );

　　//把"_"過(guò)濾掉

　　$str = str_replace ( "%", "%", $str );

　　//把"%"過(guò)濾掉

　　$str = htmlspecialchars ( $str );

　　//轉(zhuǎn)換html

　　return $str;

　　}

　　//表單過(guò)濾函數(shù)

　　function post_check($str, $min, $max) {

　　if (isset ( $min ) && strlen ( $str ) < $min) {

　　die ( '最少$min字節(jié)' );

　　} else if (isset ( $max ) && strlen ( $str ) > $max) {

　　die ( '最多$max字節(jié)' );

　　}

　　return stripslashes_array ( $str );

　　}

　　//防注入函數(shù)

　　function inject_check($sql_str) {

　　return eregi ( 'select|inert|update|delete|'|/*|*|../|./|UNION|into|load_file|outfile', $sql_str );

　　// www.111cn.net 進(jìn)行過(guò)濾，防注入

　　}

　　function stripslashes_array(&$array) {

　　if (is_array ( $array )) {

　　foreach ( $array as $k => $v ) {

　　$array [$k] = stripslashes_array ( $v );

　　}

　　} else if (is_string ( $array )) {

　　$array = stripslashes ( $array );

　　}

　　return $array;

　　}

　　?>

【PHP數(shù)據(jù)過(guò)濾函數(shù)的方法】相關(guān)文章：

PHP數(shù)據(jù)過(guò)濾函數(shù)01-26

php過(guò)濾XSS攻擊的函數(shù)03-04

分享php過(guò)濾XSS攻擊的函數(shù)05-21

分析php過(guò)濾XSS攻擊的函數(shù)08-02

php防止sql注入漏洞過(guò)濾函數(shù)的代碼05-08

php過(guò)濾危險(xiǎn)html代碼的方法05-31

php常用的系統(tǒng)函數(shù)方法04-02

php常用系統(tǒng)函數(shù)方法03-29

PHP autoload函數(shù)的使用方法01-02