php sql防注入以及 html 過濾安全函數

方法一過濾html自訂函數

function ihtmlspecialchars($string) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = ihtmlspecialchars($val);
}
} else {
$string = preg_replace('/&((#(d{3,5}|x[a-fa-f0-9]{4})|[ a-za-z][a-z0-9]{2,5});)/', '&1',
str_replace(array('&', '"', '<', '>'), array('&amp;', '&quot;', '&lt;', '&gt;'), $string));
}
return $string; 方法二

$rptype = 0 表示僅替換 html標記
$rptype = 1 表示替換 html標記同時去除連續空白字元
$rptype = 2 表示替換 html標記同時去除所有空白字元
$rptype = -1 表示僅替換 html危險的標記
function htmlreplace($str,$rptype=0)
{
$str = strips教程lashes($str);
if($rptype==0)
{
$str = htmlspecialchars($str);
}
else if($rptype==1)
{
$str = htmlspecialchars($str);
$str = str_replace(" ",' ',$str);
$str = ereg_replace("[rnt ]{1,}",' ',$str);
}
else if($rptype==2)
{
$str = htmlspecialchars($str);
$str = str_replace(" ",'',$str);
$str = ereg_replace("[rnt ]",'',$str);
}
else
{
$str = ereg_replace("[rnt ]{1,}",' ',$str);
$str = eregi_replace('script','ｓｃｒｉｐｔ',$str);
$str = eregi_replace("<[/]{0,1}(link|meta|ifr|fra)[^>]*>",'',$str);
}
return addslashes($str);
}其它方法

php教程過濾不安全字元函數

function uh($str)
{
$farr = array(
"/s+/",//過濾多餘的空白
"/<(/?) (script|i?frame|style|html|body|title|link|meta|?|%) ([^>]*?) >/isu",//過濾 <script 等可能引入惡意內容或惡意改變顯示佈局的代碼,如果不需要插入flash等,還可以加入<object的過濾
"/(<[^>]*)on[a-za-z]+s*=([^>]*>)/isu",//過濾網頁特效的on事件
);
$tarr = array(
" ",
"＜123＞", //如果要直接清除不安全的標籤，這裡可以留空
"12",
);

$str = preg_replace($farr,$tarr,$str);
return $str;