php過濾表單提交的危險代碼(防php注入)

例1

 

代碼如下

複製代碼

function uhtml($str)  {      $farr = array(          "/s+/", //過濾多餘空白           //過濾 <script>等可能引入惡意內容或惡意改變顯示布局的代碼,如果不需要插入flash等,還 可以加入<object>的過濾          "/<(/?)(script|i?frame|style|html|body|title|link|meta|?|%)([^>]*?)>/isU",         "/(<[^>]*)on[a-zA-Z]+s*=([^>]*>)/isU",//過濾javascript的on事件     );     $tarr = array(          " ",          "＜123＞",//如果要直接清除不安全的標籤，這裡可以留空          "12",     );    $str = preg_replace( $farr,$tarr,$str);     return $str;  }

例2
或者這樣操作

代碼如下

複製代碼

//get post data  function PostGet($str,$post=0)  {   empty($str)?die('para is null'.$str.'!'):'';      if( $post )   {    if( get_magic_quotes_gpc() )    {     return htmlspecialchars(isset($_POST[$str])?$_POST [$str]:'');    }    else    {     return addslashes(htmlspecialchars(isset($_POST[$str])? $_POST[$str]:''));    }       }   else   {    if( get_magic_quotes_gpc() )    {     return htmlspecialchars(isset($_GET[$str])?$_GET[$str]:'');     }    else    {     return addslashes(htmlspecialchars(isset($_GET[$str])? $_GET[$str]:''));     }   }  }