这里有新鲜出炉的PHP教程,程序狗速度看过来!
PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于web开发领域。PHP的文件后缀名为php。
这篇文章主要介绍了PHP实现表单提交数据的验证处理功能,可实现防SQL注入和XSS攻击等,涉及php字符处理、编码转换相关操作技巧,需要的朋友可以参考下
本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考,具体如下:
防XSS攻击代码:
- /**
- * 安全过滤函数
- *
- * @param $string
- * @return string
- */
- function safe_replace($string) {
- $string = str_replace(' ', '', $string);
- $string = str_replace(''', '', $string);
- $string = str_replace('%27', '', $string);
- $string = str_replace('*', '', $string);
- $string = str_replace('"', '"', $string);
- $string = str_replace("'", '', $string);
- $string = str_replace('"', '', $string);
- $string = str_replace(';', '', $string);
- $string = str_replace('<', '<', $string);
- $string = str_replace('>', '>', $string);
- $string = str_replace("{", '', $string);
- $string = str_replace('}', '', $string);
- $string = str_replace('\\', '', $string);
- return $string;
- }
代码实例:
- <?php
- $user_name = strim($_REQUEST['user_name']);
- function strim($str)
- {
- //trim() 函数移除字符串两侧的空白字符或其他预定义字符。
- //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体(防xss攻击)。
- //预定义的字符是:
- //& (和号)成为 &
- //" (双引号)成为 "
- //' (单引号)成为 '
- //< (小于)成为 <
- //> (大于)成为 >
- return quotes(htmlspecialchars(trim($str)));
- }
- //防sql注入
- function quotes($content)
- {
- //if $content is an array
- if (is_array($content))
- {
- foreach ($content as $key=>$value)
- {
- //$content[$key] = mysql_real_escape_string($value);
- /*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
- 预定义字符是:
- 单引号(')
- 双引号(")
- 反斜杠(\)
- NULL */
- $content[$key] = addslashes($value);
- }
- } else
- {
- //if $content is not an array
- //$content=mysql_real_escape_string($content);
- $content=addslashes($content);
- }
- return $content;
- }
- ?>
- //过滤sql注入
- function filter_injection(&$request)
- {
- $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";
- foreach($request as $k=>$v)
- {
- if(preg_match($pattern,$k,$match))
- {
- die("SQL Injection denied!");
- }
- if(is_array($v))
- {
- filter_injection($request[$k]);
- }
- else
- {
- if(preg_match($pattern,$v,$match))
- {
- die("SQL Injection denied!");
- }
- }
- }
- }
防sql注入:
函数转义 SQL 语句中使用的字符串中的特殊字符。
- mysql_real_escape_string()
下列字符受影响:
\x00
\n
\r
'
”
\x1a
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。
语法
- mysql_real_escape_string(string,connection)
参数 | 描述 |
---|---|
string 必需。 | 规定要转义的字符串。 |
connection 可选。 | 规定 MySQL 连接。如果未规定,则使用上一个连接。 |
对于纯数字或数字型字符串的校验可以用
检测变量是否为数字或数字字符串
- is_numeric()
实例:
- <?php
- function get_numeric($val) {
- if (is_numeric($val)) {
- return $val + 0;
- }
- return 0;
- }
- ?>
is_array — 检测变量是否是数组
如果 var 是 array,则返回 TRUE,否则返回 FALSE。
- bool is_array ( mixed $var )
is_dir 判断给定文件名是否是一个目录
判断给定文件名是否是一个目录。 如果文件名存在,并且是个目录,返回 TRUE,否则返回FALSE。
- bool is_dir ( string $filename )
is_file — 判断给定文件名是否为一个正常的文件
判断给定文件名是否为一个正常的文件。 如果文件存在且为正常的文件则返回 TRUE,否则返回 FALSE。 Note: 因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型,对 2GB 以上的文件,一些文件系统函数可能返回无法预期的结果 。
- bool is_file ( string $filename )
is_bool — 检测变量是否是布尔型
如果 var 是 boolean 则返回 TRUE。
- bool is_bool ( mixed $var )
is_string — 检测变量是否是字符串
如果 var 是 string 则返回 TRUE,否则返回 FALSE。
- bool is_string ( mixed $var )
is_int — 检测变量是否是整数
如果 var 是 integer 则返回 TRUE,否则返回 FALSE。 Note: 若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。
- bool is_int ( mixed $var )
is_float — 检测变量是否是浮点型
如果 var 是 float 则返回 TRUE,否则返回 FALSE。 Note: 若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。
- bool is_float ( mixed $var )
is_null — 检测变量是否为 NULL
如果 var 是 null 则返回 TRUE,否则返回 FALSE。
- bool is_null ( mixed $var )
is_readable — 判断给定文件名是否可读
判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE,否则返回 FALSE。
- bool is_readable ( string $filename )
is_writable — 判断给定的文件名是否可写
如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。
- bool is_writable ( string $filename )
file_exists — 检查文件或目录是否存在
检查文件或目录是否存在。 在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。 如果由 filename 指定的文件或目录存在则返回 TRUE,否则返回 FALSE。
- bool file_exists ( string $filename )
is_executable — 判断给定文件名是否可执行
判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE,错误时返回FALSE。
- bool is_executable ( string $filename )
希望本文所述对大家PHP程序设计有所帮助。
来源: http://www.phperz.com/article/17/1026/350686.html