php 參數(shù)過(guò)濾、數(shù)據(jù)過(guò)濾詳解

更新時(shí)間：2015年10月26日 10:58:27 投稿：mrr

這篇文章給大家介紹php參數(shù)過(guò)濾及php數(shù)據(jù)過(guò)濾，包括php提交數(shù)據(jù)過(guò)濾的基本原則，php簡(jiǎn)單的數(shù)據(jù)過(guò)濾，感興趣的朋友一起學(xué)習(xí)吧

下面通過(guò)一段代碼給大家介紹php參數(shù)過(guò)濾

class mysafe{
 public $logname;
 public $isshwomsg;
 function __construct(){ 
  set_error_handler('MyError',E_ALL); 
  //-----
 }
 function MyError($errno, $errstr, $errfile, $errline){  
  echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
  exit;
 }
 function wlog($logs){
  if(empty($logname)){
   $this->logname=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
  }  
  $Ts=fopen($this->logname,"a+");
  fputs($Ts,$logs."\r\n");
  fclose($Ts);
 }
 function showmsg($msg='',$flag=false){
  $this->isshwomsg=empty($this->isshwomsg) ? false : true;
  if ($this->isshwomsg) {
   echo '<br />--------------------------------------<br />';
   echo $msg;
   echo '<br />--------------------------------------<br />';
   if ($flag) exit;
  } 
 }
 function get_filter(){
  $getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  foreach($_GET as $key=>$value){
   $this->StopAttack($key,$value,$getfilter);
  }
 }
 function post_filter(){
  $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  foreach($_POST as $key=>$value){
   $this->StopAttack($key,$value,$postfilter);
  }
 }
 function cookie_filter(){
  $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
  foreach($_COOKIE as $key=>$value){
   $this->StopAttack($key,$value,$cookiefilter);
  }
 }
 //過(guò)濾參數(shù) 
 function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){
  if(is_array($StrFiltValue)){
   $StrFiltValue=implode($StrFiltValue);
  } 
  if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){
   $msg="<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作時(shí)間: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作頁(yè)面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交參數(shù): ".$StrFiltKey."<br>提交數(shù)據(jù): ".$StrFiltValue; 
   $this->wlog($msg);   
   $this->showmsg($msg);   
   exit();
  }  
 }
 function filter_value_for_sql($str){
  $str = str_replace("and","",$str);
  $str = str_replace("execute","",$str);
  $str = str_replace("update","",$str);
  $str = str_replace("count","",$str);
  $str = str_replace("chr","",$str);
  $str = str_replace("mid","",$str);
  $str = str_replace("master","",$str);
  $str = str_replace("truncate","",$str);
  $str = str_replace("char","",$str);
  $str = str_replace("declare","",$str);
  $str = str_replace("select","",$str);
  $str = str_replace("create","",$str);
  $str = str_replace("delete","",$str);
  $str = str_replace("insert","",$str);
  $str = str_replace("'","",$str);
  $str = str_replace('"',"",$str);
  $str = str_replace(" ","",$str);
  $str = str_replace("or","",$str);
  $str = str_replace("=","",$str);
  $str = str_replace(" ","",$str); 
  return $str;
 }
 //class end
}

下面給大家介紹下PHP數(shù)據(jù)過(guò)濾

1、php提交數(shù)據(jù)過(guò)濾的基本原則

1）提交變量進(jìn)數(shù)據(jù)庫(kù)時(shí)，我們必須使用addslashes()進(jìn)行過(guò)濾，像我們的注入問(wèn)題，一個(gè)addslashes()也就搞定了。其實(shí)在涉及到變量取值時(shí)，intval()函數(shù)對(duì)字符串的過(guò)濾也是個(gè)不錯(cuò)的選擇。
2）在php.ini中開(kāi)啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引號(hào)變?yōu)樾备?。magic_quotes_runtime對(duì)于進(jìn)出數(shù)據(jù)庫(kù)的數(shù)據(jù)可以起到格式話(huà)的作用。其實(shí)，早在以前注入很瘋狂時(shí)，這個(gè)參數(shù)就很流行了。
3）在使用系統(tǒng)函數(shù)時(shí)，必須使用escapeshellarg(),escapeshellcmd()參數(shù)去過(guò)濾，這樣你也就可以放心的使用系統(tǒng)函數(shù)。
4）對(duì)于跨站，strip_tags(),htmlspecialchars()兩個(gè)參數(shù)都不錯(cuò)，對(duì)于用戶(hù)提交的的帶有html和php的標(biāo)記都將進(jìn)行轉(zhuǎn)換。比如尖括號(hào)"<"就將轉(zhuǎn)化為 "<"這樣無(wú)害的字符。
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
strip_tags($text,);
5）對(duì)于相關(guān)函數(shù)的過(guò)濾，就像先前的include(),unlink,fopen()等等，只要你把你所要執(zhí)行操作的變量指定好或者對(duì)相關(guān)字符過(guò)濾嚴(yán)密，我想這樣也就無(wú)懈可擊了。

2、PHP簡(jiǎn)單的數(shù)據(jù)過(guò)濾

1）入庫(kù): trim($str),addslashes($str)
2）出庫(kù): stripslashes($str)
3）顯示: htmlspecialchars(nl2br($str))

您可能感興趣的文章: