php 参数过滤、数据过滤详解
下面通过一段代码给大家介绍php参数过滤
class mysafe{
public $logname;
public $isshwomsg;
function __construct(){
set_error_handler(\'MyError\',E_ALL);
//-----
}
function MyError($errno, $errstr, $errfile, $errline){
echo \"<b>Error number:</b> [$errno],error on line $errline in $errfile<br />\";
exit;
}
function wlog($logs){
if(empty($logname)){
$this->logname=$_SERVER[\"DOCUMENT_ROOT\"].\"/log.htm\";
}
$Ts=fopen($this->logname,\"a+\");
fputs($Ts,$logs.\"\\r\\n\");
fclose($Ts);
}
function showmsg($msg=\'\',$flag=false){
$this->isshwomsg=empty($this->isshwomsg) ? false : true;
if ($this->isshwomsg) {
echo \'<br />--------------------------------------<br />\';
echo $msg;
echo \'<br />--------------------------------------<br />\';
if ($flag) exit;
}
}
function get_filter(){
$getfilter=\"\'|(and|or)\\\\b.+?(>|<|=|in|like)|\\\\/\\\\*.+?\\\\*\\\\/|<\\\\s*script\\\\b|\\\\bEXEC\\\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\\\s+(TABLE|DATABASE)\";
foreach($_GET as $key=>$value){
$this->StopAttack($key,$value,$getfilter);
}
}
function post_filter(){
$postfilter=\"\\\\b(and|or)\\\\b.{1,6}?(=|>|<|\\\\bin\\\\b|\\\\blike\\\\b)|\\\\/\\\\*.+?\\\\*\\\\/|<\\\\s*script\\\\b|\\\\bEXEC\\\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\\\s+(TABLE|DATABASE)\";
foreach($_POST as $key=>$value){
$this->StopAttack($key,$value,$postfilter);
}
}
function cookie_filter(){
$cookiefilter=\"\\\\b(and|or)\\\\b.{1,6}?(=|>|<|\\\\bin\\\\b|\\\\blike\\\\b)|\\\\/\\\\*.+?\\\\*\\\\/|<\\\\s*script\\\\b|\\\\bEXEC\\\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\\\s+(TABLE|DATABASE)\";
foreach($_COOKIE as $key=>$value){
$this->StopAttack($key,$value,$cookiefilter);
}
}
//过滤参数
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){
if(is_array($StrFiltValue)){
$StrFiltValue=implode($StrFiltValue);
}
if (preg_match(\"/\".$ArrFiltReq.\"/is\",$StrFiltValue)==1){
$msg=\"<br><br>操作IP: \".$_SERVER[\"REMOTE_ADDR\"].\"<br>操作时间: \".strftime(\"%Y-%m-%d %H:%M:%S\").\"<br>操作页面:\".$_SERVER[\"PHP_SELF\"].\"<br>提交方式: \".$_SERVER[\"REQUEST_METHOD\"].\"<br>提交参数: \".$StrFiltKey.\"<br>提交数据: \".$StrFiltValue;
$this->wlog($msg);
$this->showmsg($msg);
exit();
}
}
function filter_value_for_sql($str){
$str = str_replace(\"and\",\"\",$str);
$str = str_replace(\"execute\",\"\",$str);
$str = str_replace(\"update\",\"\",$str);
$str = str_replace(\"count\",\"\",$str);
$str = str_replace(\"chr\",\"\",$str);
$str = str_replace(\"mid\",\"\",$str);
$str = str_replace(\"master\",\"\",$str);
$str = str_replace(\"truncate\",\"\",$str);
$str = str_replace(\"char\",\"\",$str);
$str = str_replace(\"declare\",\"\",$str);
$str = str_replace(\"select\",\"\",$str);
$str = str_replace(\"create\",\"\",$str);
$str = str_replace(\"delete\",\"\",$str);
$str = str_replace(\"insert\",\"\",$str);
$str = str_replace(\"\'\",\"\",$str);
$str = str_replace(\'\"\',\"\",$str);
$str = str_replace(\" \",\"\",$str);
$str = str_replace(\"or\",\"\",$str);
$str = str_replace(\"=\",\"\",$str);
$str = str_replace(\" \",\"\",$str);
return $str;
}
//class end
}
下面给大家介绍下PHP数据过滤
1、php提交数据过滤的基本原则
1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。
2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。
4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号\"<\"就将转化为 \"<\"这样无害的字符。
$new = htmlspecialchars(\"<a href=\'test\'>Test</a>\", ENT_QUOTES);
strip_tags($text,);
5)对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想这样也就无懈可击了。
2、PHP简单的数据过滤
1)入库: trim($str),addslashes($str)
2)出库: stripslashes($str)
3)显示: htmlspecialchars(nl2br($str))
本文地址:https://www.stayed.cn/item/19928
转载请注明出处。
本站部分内容来源于网络,如侵犯到您的权益,请 联系我
我的博客
人生若只如初见,何事秋风悲画扇。
我的标签
随笔档案
- 2024-02(2)
- 2023-06(1)
- 2023-05(1)
- 2023-04(14)
- 2023-03(3)
- 2023-01(6)
- 2022-12(5)
- 2022-11(5)
- 2022-07(2)
- 2022-06(4)
- 2022-05(3)
- 2022-03(1)
- 2021-12(6)
- 2021-11(1)
- 2021-10(3)
- 2021-09(5)
- 2021-07(5)
- 2021-02(2)
- 2021-01(7)
- 2020-12(18)
- 2020-11(14)
- 2020-10(12)
- 2020-09(10)
- 2020-08(22)
- 2020-07(2)
- 2020-06(1)
- 2020-04(5)
- 2020-03(9)
- 2020-02(7)
- 2020-01(9)
- 2019-12(8)
- 2019-11(10)
- 2019-10(11)
- 2019-09(17)
- 2019-08(16)
- 2019-07(6)
- 2019-06(3)
- 2019-04(1)
- 2019-03(8)
- 2019-02(5)
- 2019-01(1)
- 2018-11(2)
- 2018-10(3)
- 2018-09(1)
- 2018-08(3)
- 2018-07(3)
- 2018-06(7)
- 2018-04(4)
- 2018-03(5)
- 2018-02(4)
- 2018-01(22)
- 2017-12(3)
- 2017-11(5)
- 2017-10(15)
- 2017-09(26)
- 2017-08(1)
- 2017-07(3)