php 參數過濾、資料過濾詳解_php執行個體

下面通過一段代碼給大家介紹php參數過濾

class mysafe{ public $logname; public $isshwomsg; function __construct(){   set_error_handler('MyError',E_ALL);   //----- } function MyError($errno, $errstr, $errfile, $errline){    echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";  exit; } function wlog($logs){  if(empty($logname)){   $this->logname=$_SERVER["DOCUMENT_ROOT"]."/log.htm";  }    $Ts=fopen($this->logname,"a+");  fputs($Ts,$logs."\r\n");  fclose($Ts); } function showmsg($msg='',$flag=false){  $this->isshwomsg=empty($this->isshwomsg) ? false : true;  if ($this->isshwomsg) {   echo '<br />--------------------------------------<br />';   echo $msg;   echo '<br />--------------------------------------<br />';   if ($flag) exit;  }  } function get_filter(){  $getfilter="'|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";  foreach($_GET as $key=>$value){   $this->StopAttack($key,$value,$getfilter);  } } function post_filter(){  $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";  foreach($_POST as $key=>$value){   $this->StopAttack($key,$value,$postfilter);  } } function cookie_filter(){  $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";  foreach($_COOKIE as $key=>$value){   $this->StopAttack($key,$value,$cookiefilter);  } } //過濾參數  function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){  if(is_array($StrFiltValue)){   $StrFiltValue=implode($StrFiltValue);  }   if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){   $msg="<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作時間: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作頁面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交參數: ".$StrFiltKey."<br>提交資料: ".$StrFiltValue;    $this->wlog($msg);      $this->showmsg($msg);      exit();  }   } function filter_value_for_sql($str){  $str = str_replace("and","",$str);  $str = str_replace("execute","",$str);  $str = str_replace("update","",$str);  $str = str_replace("count","",$str);  $str = str_replace("chr","",$str);  $str = str_replace("mid","",$str);  $str = str_replace("master","",$str);  $str = str_replace("truncate","",$str);  $str = str_replace("char","",$str);  $str = str_replace("declare","",$str);  $str = str_replace("select","",$str);  $str = str_replace("create","",$str);  $str = str_replace("delete","",$str);  $str = str_replace("insert","",$str);  $str = str_replace("'","",$str);  $str = str_replace('"',"",$str);  $str = str_replace(" ","",$str);  $str = str_replace("or","",$str);  $str = str_replace("=","",$str);  $str = str_replace(" ","",$str);   return $str; } //class end}

下面給大家介紹下PHP資料過濾

1、php提交資料過濾的基本原則

1）提交變數進資料庫時，我們必須使用addslashes()進行過濾，像我們的注入問題，一個addslashes()也就搞定了。其實在涉及到變數取值時，intval()函數對字串的過濾也是個不錯的選擇。
2）在php.ini中開啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie裡的引號變為斜杠。magic_quotes_runtime對於進出資料庫的資料可以起到格式話的作用。其實，早在以前注入很瘋狂時，這個參數就很流行了。
3）在使用系統函數時，必須使用escapeshellarg(),escapeshellcmd()參數去過濾，這樣你也就可以放心的使用系統函數。
4）對於跨站，strip_tags(),htmlspecialchars()兩個參數都不錯，對於使用者提交的的帶有html和php的標記都將進行轉換。比如角括弧"<"就將轉化為 "<"這樣無害的字元。
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
strip_tags($text,);
5）對於相關函數的過濾，就像先前的include(),unlink,fopen()等等，只要你把你所要執行操作的變數指定好或者對相關字元過濾嚴密，我想這樣也就無懈可擊了。

2、PHP簡單的資料過濾

1）入庫:  trim($str),addslashes($str)
2）出庫:  stripslashes($str)
3）顯示:  htmlspecialchars(nl2br($str))