PHP實現表單提交資料驗證處理功能的方法

這篇文章主要介紹了PHP實現表單提交資料的驗證處理功能,可實現防SQL注入和XSS攻擊等,涉及php字元處理、編碼轉換相關操作技巧,需要的朋友可以參考下

防XSS攻擊代碼：

/** * 安全過濾函數 * * @param $string * @return string */function safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27','',$string); $string = str_replace('%2527','',$string); $string = str_replace('*','',$string); $string = str_replace('"','"',$string); $string = str_replace("'",'',$string); $string = str_replace('"','',$string); $string = str_replace(';','',$string); $string = str_replace('<','<',$string); $string = str_replace('>','>',$string); $string = str_replace("{",'',$string); $string = str_replace('}','',$string); $string = str_replace('\\','',$string); return $string;}

代碼執行個體：

<?php$user_name = strim($_REQUEST['user_name']);function strim($str){ //trim() 函數移除字串兩側的空白字元或其他預定義字元。 //htmlspecialchars() 函數把預定義的字元轉換為 HTML 實體(防xss攻擊)。 //預定義的字元是： //& （和號）成為 & //" （雙引號）成為 " //' （單引號）成為 ' //< （小於）成為 < //> （大於）成為 > return quotes(htmlspecialchars(trim($str)));}//防sql注入function quotes($content){ //if $content is an array if (is_array($content)) {  foreach ($content as $key=>$value)  {   //$content[$key] = mysql_real_escape_string($value);   /*addslashes() 函數返回在預定義字元之前添加反斜線的字串。   預定義字元是：   單引號（'）   雙引號（"）   反斜線（\）   NULL */   $content[$key] = addslashes($value);  } } else {  //if $content is not an array  //$content=mysql_real_escape_string($content);  $content=addslashes($content); } return $content;}?>

//過濾sql注入function filter_injection(&$request){ $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i"; foreach($request as $k=>$v) {    if(preg_match($pattern,$k,$match))    {      die("SQL Injection denied!");    }    if(is_array($v))    {     filter_injection($request[$k]);    }    else    {     if(preg_match($pattern,$v,$match))     {      die("SQL Injection denied!");     }    } }}

防sql注入：

mysql_real_escape_string() 函數轉義 SQL 陳述式中使用的字串中的特殊字元。

下列字元受影響：

\x00
\n
\r
'
”
\x1a

如果成功，則該函數返回被轉義的字串。如果失敗，則返回 false。

文法

mysql_real_escape_string(string,connection)

參數	描述
string 必需。	規定要轉義的字串。
connection 可選。	規定 MySQL 串連。如果未規定，則使用上一個串連。

對於純數字或數字型字串的校正可以用

is_numeric()檢測變數是否為數字或數字字串

執行個體：

<?php function get_numeric($val) {  if (is_numeric($val)) {  return $val + 0;  }  return 0; } ?>

is_array — 檢測變數是否是數組
bool is_array ( mixed $var )
如果 var 是 array，則返回 TRUE，否則返回 FALSE。

is_dir 判斷給定檔案名稱是否是一個目錄
bool is_dir ( string $filename )
判斷給定檔案名稱是否是一個目錄。
如果檔案名稱存在，並且是個目錄，返回 TRUE，否則返回FALSE。

is_file — 判斷給定檔案名稱是否為一個正常的檔案
bool is_file ( string $filename )
判斷給定檔案名稱是否為一個正常的檔案。
如果檔案存在且為正常的檔案則返回 TRUE，否則返回 FALSE。
Note:
因為 PHP 的整數類型是有符號整型而且很多平台使用 32 位整型，對 2GB 以上的檔案，一些檔案系統函數可能返回無法預期的結果 。

is_bool — 檢測變數是否是布爾型
bool is_bool ( mixed $var )
如果 var 是 boolean 則返回 TRUE。

is_string — 檢測變數是否是字串
bool is_string ( mixed $var )
如果 var 是 string 則返回 TRUE，否則返回 FALSE。

is_int — 檢測變數是否是整數
bool is_int ( mixed $var )
如果 var 是 integer 則返回 TRUE，否則返回 FALSE。
Note:
若想測試一個變數是否是數字或數字字串（如表單輸入，它們通常為字串），必須使用 is_numeric()。

is_float — 檢測變數是否是浮點型
bool is_float ( mixed $var )
如果 var 是 float 則返回 TRUE，否則返回 FALSE。
Note:
若想測試一個變數是否是數字或數字字串（如表單輸入，它們通常為字串），必須使用 is_numeric()。

is_null — 檢測變數是否為 NULL
bool is_null ( mixed $var )
如果 var 是 null 則返回 TRUE，否則返回 FALSE。

is_readable — 判斷給定檔案名稱是否可讀
bool is_readable ( string $filename )
判斷給定檔案名稱是否存在並且可讀。如果由 filename 指定的檔案或目錄存在並且可讀則返回 TRUE，否則返回 FALSE。

is_writable — 判斷給定的檔案名稱是否可寫
bool is_writable ( string $filename )
如果檔案存在並且可寫則返回 TRUE。filename 參數可以是一個允許進行是否可寫檢查的目錄名。

file_exists — 檢查檔案或目錄是否存在
bool file_exists ( string $filename )
檢查檔案或目錄是否存在。
在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 來檢查網路中的共用檔案。
如果由 filename 指定的檔案或目錄存在則返回 TRUE，否則返回 FALSE。

is_executable — 判斷給定檔案名稱是否可執行
bool is_executable ( string $filename )
判斷給定檔案名稱是否可執行。如果檔案存在且可執行則返回 TRUE，錯誤時返回FALSE。

相關推薦：

解決php 處理 form 表單提交多個 name 屬性值相同的 input 標籤問題

python類比表單提交登入圖書館

使用Ajax進行Form表單提交步驟詳解