1 過濾SQL注入攻擊
可以使用addslashes等PHP內建的直接給出函數,方便使用
function VerifyInput($input)
{
if (!get_magic_quotes_gpc())
{
//magic_quotes_gpc預設是on的,已經會自動轉義'號等字元了
$input = addslashes($input);
}
}
而在顯示時則用
<? echo htmlentities(stripslashes(....))?>正常顯示之
或者乾脆就用 mysql_real_escape_string函數過濾,就很方便了
2 要注意判斷變數的類型,比如要判斷輸入的變數是否是整型
if (is_numeric($pid)).........
但還要對長度進行一下限制,最好寫一個函數來判斷是否是純數字,比如
if (strlen($pid)){
if (!ereg("^[0-9]+$",$pid) && strlen($pid) > 5){
給出一個例子
....................
/**
* 檢測 $val 是否為純數字
* @param $val 使用者輸入的值
* @param $stuff 為 true 時 $val 必須填寫, 為 false 時 $val 不是必須要填寫的
* @param $mixLen 為數值時,表示 $val 的值必須達到 $mixLen 的長度, 如不須檢測填 -1 即可
* @param $maxLen 為數值時,表示 $val 的值必須小於 $maxLen 的長度, 如不須檢測埴一大數值即可
* @return $val 格式合法則返回 true, 否則返回 false
*/
function checkNumberOnly($val, $stuff, $mixLen, $maxLen)
{
if($stuff == true)
{
if($val == "")
return false;
if(strlen($val) < $mixLen || strlen($val) > $maxLen)
return false;
if(!eregi("^[0-9]+$", $val))
return false;
}
else if($stuff == false)
{
if($val != "")
{
if(strlen($val) < $mixLen || strlen($val) > $maxLen)
return false;
if(!eregi("^[0-9]+$", $val))
return false;
}
}
return true;
}
3 清除使用者輸入的HTML標記,如果確定使用者不需要輸入HTML標記的話,則要過濾掉,比如
$name = strip_tags($_POST['name']);
用strip_tags清除HTML標記
再判斷是否符合字母,數位規則
$name = cleanHex($name);
function cleanHex($input){
$clean = preg_replace\
("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);
return $clean;
}
如果要完整還原使用者輸入的HTML標記的話,可以用htmlspecialchars() 實現
4 防止遠端資料表單提交
防止使用者將表單頁面保留下來,再去修改提交,可以使用token令牌驗證的方法,如
<?php
session_start();
if ($_POST['submit'] == "go"){
if ($_POST['token'] == $_SESSION['token']){
$name = strip_tags($_POST['name']);
}else{
}
}
$token = md5(uniqid(rand(), true));
$_SESSION['token']= $token;
?>
<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">
<p><label for="name">Name</label>
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>
<input type="hidden" name="token" value="<?php echo $token;?>"/>
<p><input type="submit" name="submit" value="go"/></p>
</form>
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
