PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】
本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考,具体如下:
防XSS攻击代码:
/**
*安全过滤函数
*
*@param$string
*@returnstring
*/
functionsafe_replace($string){
$string=str_replace('%20','',$string);
$string=str_replace('%27','',$string);
$string=str_replace('%2527','',$string);
$string=str_replace('*','',$string);
$string=str_replace('"','"',$string);
$string=str_replace("'",'',$string);
$string=str_replace('"','',$string);
$string=str_replace(';','',$string);
$string=str_replace('<','<',$string);
$string=str_replace('>','>',$string);
$string=str_replace("{",'',$string);
$string=str_replace('}','',$string);
$string=str_replace('\\','',$string);
return$string;
}
代码实例:
(大于)成为>
returnquotes(htmlspecialchars(trim($str)));
}
//防sql注入
functionquotes($content)
{
//if$contentisanarray
if(is_array($content))
{
foreach($contentas$key=>$value)
{
//$content[$key]=mysql_real_escape_string($value);
/*addslashes()函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:
单引号(')
双引号(")
反斜杠(\)
NULL*/
$content[$key]=addslashes($value);
}
}else
{
//if$contentisnotanarray
//$content=mysql_real_escape_string($content);
$content=addslashes($content);
}
return$content;
}
?>
//过滤sql注入
functionfilter_injection(&$request)
{
$pattern="/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";
foreach($requestas$k=>$v)
{
if(preg_match($pattern,$k,$match))
{
die("SQLInjectiondenied!");
}
if(is_array($v))
{
filter_injection($request[$k]);
}
else
{
if(preg_match($pattern,$v,$match))
{
die("SQLInjectiondenied!");
}
}
}
}
防sql注入:
mysql_real_escape_string()函数转义SQL语句中使用的字符串中的特殊字符。
下列字符受影响:
\x00
\n
\r
'
”
\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回false。
语法
mysql_real_escape_string(string,connection)
参数
描述
string必需。
规定要转义的字符串。
connection可选。
规定MySQL连接。如果未规定,则使用上一个连接。
对于纯数字或数字型字符串的校验可以用
is_numeric()检测变量是否为数字或数字字符串
实例:
is_array—检测变量是否是数组
boolis_array(mixed$var)
如果var是array,则返回TRUE,否则返回FALSE。
is_dir判断给定文件名是否是一个目录
boolis_dir(string$filename)
判断给定文件名是否是一个目录。
如果文件名存在,并且是个目录,返回TRUE,否则返回FALSE。
is_file—判断给定文件名是否为一个正常的文件
boolis_file(string$filename)
判断给定文件名是否为一个正常的文件。
如果文件存在且为正常的文件则返回TRUE,否则返回FALSE。
Note:
因为PHP的整数类型是有符号整型而且很多平台使用32位整型,对2GB以上的文件,一些文件系统函数可能返回无法预期的结果。
is_bool—检测变量是否是布尔型
boolis_bool(mixed$var)
如果var是boolean则返回TRUE。
is_string—检测变量是否是字符串
boolis_string(mixed$var)
如果var是string则返回TRUE,否则返回FALSE。
is_int—检测变量是否是整数
boolis_int(mixed$var)
如果var是integer则返回TRUE,否则返回FALSE。
Note:
若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用is_numeric()。
is_float—检测变量是否是浮点型
boolis_float(mixed$var)
如果var是float则返回TRUE,否则返回FALSE。
Note:
若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用is_numeric()。
is_null—检测变量是否为NULL
boolis_null(mixed$var)
如果var是null则返回TRUE,否则返回FALSE。
is_readable—判断给定文件名是否可读
boolis_readable(string$filename)
判断给定文件名是否存在并且可读。如果由filename指定的文件或目录存在并且可读则返回TRUE,否则返回FALSE。
is_writable—判断给定的文件名是否可写
boolis_writable(string$filename)
如果文件存在并且可写则返回TRUE。filename参数可以是一个允许进行是否可写检查的目录名。
file_exists—检查文件或目录是否存在
boolfile_exists(string$filename)
检查文件或目录是否存在。
在Windows中要用//computername/share/filename或者\computername\share\filename来检查网络中的共享文件。
如果由filename指定的文件或目录存在则返回TRUE,否则返回FALSE。
is_executable—判断给定文件名是否可执行
boolis_executable(string$filename)
判断给定文件名是否可执行。如果文件存在且可执行则返回TRUE,错误时返回FALSE。
更多关于PHP相关内容感兴趣的读者可查看本站专题:《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家PHP程序设计有所帮助。