<blockquote>过滤用户输入可降低SQL注入、XSS等风险,核心是对$_GET、$_POST、$_COOKIE处理。使用filter_var()进行通用过滤,如FILTER_SANITIZE_STRING、FILTER_VALIDATE_EMAIL;防SQL注入应使用预处理语句(PDO/MySQLi);防XSS需用htmlspecialchars()输出转义;富文本用HTMLPurifier净化;CSRF防护通过CSRF Token、SameSite Cookie等实现;同时需合理配置PHP安全选项,如禁用危险函数、关闭display_errors、限制文件上传、使用最新版本等。</blockquote>
<p><img src="https://img.php.cn/upload/article/001/503/042/175794859212707.jpeg" alt="php如何过滤用户输入_php用户输入安全过滤方法详解"></p>
<p>直接说吧,PHP过滤用户输入,是为了防止各种攻击,比如SQL注入、XSS等等。别想着完全杜绝,但做好过滤能大大降低风险。</p>
<p>解决方案</p>
<p>PHP里过滤用户输入,核心就是对<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">$_GET</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">$_POST</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">$_COOKIE</pre>
登录后复制
</div>这些超全局变量进行处理。</p>
<ol>
<li>
<p><strong>通用过滤:<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">filter_var()</pre>
登录后复制
</div></strong></p>
<p><span>立即学习</span>“<a href="https://pan.quark.cn/s/7fc7563c4182" style="text-decoration: underline !important; color: blue; font-weight: bolder;" rel="nofollow" target="_blank">PHP免费学习笔记(深入)</a>”;</p>
<p>这函数相当强大,可以针对不同类型的数据进行过滤。</p>
<ul>
<li>
<p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">FILTER_SANITIZE_STRING</pre>
登录后复制
</div>: 移除 HTML 标签,<a style="color:#f60; text-decoration:underline;" title="编码" href="https://www.php.cn/zt/16108.html" target="_blank">编码</a>特殊字符。但注意,它不适合所有场景,比如需要保留某些HTML标签的情况。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>$input = "<p>Hello, <b>World!</b></p>";
$filtered = filter_var($input, FILTER_SANITIZE_STRING);
echo $filtered; // 输出: Hello, World!</pre>
登录后复制
</div></li>
<li>
<p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">FILTER_VALIDATE_EMAIL</pre>
登录后复制
</div>: 验证邮箱格式。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>$email = "test@example.com";
if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
echo "邮箱格式正确";
} else {
echo "邮箱格式错误";
}</pre>
登录后复制
</div></li>
<li>
<p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">FILTER_SANITIZE_NUMBER_INT</pre>
登录后复制
</div>: 移除所有字符,除了数字和<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">+-</pre>
登录后复制
</div>。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>$number = "123abc456";
$filtered = filter_var($number, FILTER_SANITIZE_NUMBER_INT);
echo $filtered; // 输出: 123456</pre>
登录后复制
</div></li>
</ul>
</li>
<li>
<p><strong>针对SQL注入:预处理语句 (Prepared Statements)</strong></p>
<p>别再手动拼接SQL语句了!预处理语句才是王道。PDO或MySQLi都支持。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>// PDO 示例
$dsn = "mysql:host=localhost;dbname=mydb";
$username = "user";
$password = "password";
try {
$pdo = new PDO($dsn, $username, $password);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->execute([$_POST['username'], $_POST['password']]);
$user = $stmt->fetch();
if ($user) {
echo "登录成功";
} else {
echo "登录失败";
}
} catch (PDOException $e) {
echo "连接失败: " . $e->getMessage();
}</pre>
登录后复制
</div><p>预处理语句的优势在于,SQL语句结构和数据是分开的,数据库会先编译SQL结构,然后再把数据放进去。这样,即使你的数据里包含SQL关键字,也不会被当成SQL语句执行。</p>
</li>
<li>
<p><strong>针对XSS:<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars()</pre>
登录后复制
</div></strong></p>
<p>这个函数能把HTML特殊字符转义,比如<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><</pre>
登录后复制
</div>转成<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><</pre>
登录后复制
</div>,<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">></pre>
登录后复制
</div>转成<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">></pre>
登录后复制
</div>。 这样,用户输入的内容就不会被<a style="color:#f60; text-decoration:underline;" title="浏览器" href="https://www.php.cn/zt/16180.html" target="_blank">浏览器</a>当成HTML代码执行。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>$input = "<script>alert('XSS');</script>";
$filtered = htmlspecialchars($input);
echo $filtered; // 输出: <script>alert('XSS');</script></pre>
登录后复制
</div><p>记住,<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars()</pre>
登录后复制
</div>是在<strong>输出</strong>的时候用,而不是输入的时候。 因为输入的时候转义了,存到数据库里,再取出来显示,就乱码了。</p>
</li>
<li>
<p><strong>白名单验证</strong></p>
<p>对于一些特定的输入,比如颜色、尺寸,最好使用白名单验证。 只允许特定的值通过。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>$color = $_POST['color'];
$allowed_colors = ['red', 'green', 'blue'];
if (in_array($color, $allowed_colors)) {
echo "你选择了颜色: " . $color;
} else {
echo "无效的颜色";
}</pre>
登录后复制
</div></li>
<li>
<p><strong>其他小技巧</strong></p>
<ul>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">trim()</pre>
登录后复制
</div>: 移除字符串首尾的空白字符。</li>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">stripslashes()</pre>
登录后复制
</div>: 移除反斜杠。 但现在一般不用,因为PHP配置里可以设置自动转义。</li>
</ul>
</li>
</ol>
<p>PHP如何处理富文本编辑器中的用户输入?</p>
<p>富文本编辑器允许用户输入带格式的文本,比如加粗、斜体、链接等等。 这给XSS攻击提供了更多可能性。</p>
<ol>
<li>
<p><strong>使用专门的库</strong></p>
<p>不要自己写过滤规则! 用成熟的HTML净化库,比如HTMLPurifier。 它能根据配置,移除不安全的HTML标签和属性,保留安全的。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>require_once 'HTMLPurifier.auto.php';
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$dirty_html = $_POST['content'];
$clean_html = $purifier->purify($dirty_html);
echo $clean_html;</pre>
登录后复制
</div></li>
<li>
<p><strong>配置HTMLPurifier</strong></p>
<p>HTMLPurifier的默认配置可能过于严格,你需要根据实际需求进行调整。 比如,允许<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;"><img></pre>
登录后复制
</div>标签,允许<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">class</pre>
登录后复制
</div>属性等等。</p>
<div class="aritcle_card">
<a class="aritcle_card_img" href="/ai/901">
<img src="https://img.php.cn/upload/ai_manual/000/000/000/175679989458289.png" alt="知我AI·PC客户端">
</a>
<div class="aritcle_card_info">
<a href="/ai/901">知我AI·PC客户端</a>
<p>离线运行 AI 大模型,构建你的私有个人知识库,对话式提取文件知识,保证个人文件数据安全</p>
<div class="">
<img src="/static/images/card_xiazai.png" alt="知我AI·PC客户端">
<span>0</span>
</div>
</div>
<a href="/ai/901" class="aritcle_card_btn">
<span>查看详情</span>
<img src="/static/images/cardxiayige-3.png" alt="知我AI·PC客户端">
</a>
</div>
<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>$config = HTMLPurifier_Config::createDefault();
$config->set('HTML.Allowed', 'p,b,i,a[href],img[src]');
$config->set('Attr.AllowedClasses', ['my-class']);
$purifier = new HTMLPurifier($config);</pre>
登录后复制
</div></li>
<li>
<p><strong>输出时再次转义</strong></p>
<p>即使经过HTMLPurifier处理,在输出的时候,最好还是用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">htmlspecialchars()</pre>
登录后复制
</div>转义一下。 多一层保护总是好的。</p>
</li>
</ol>
<p>如何防止CSRF攻击?</p>
<p>CSRF (Cross-Site Request Forgery) 攻击是指,攻击者伪造用户请求,以用户的身份执行操作。 比如,用户登录了银行网站,攻击者诱骗用户点击一个链接,这个链接会向银行网站发起转账请求。</p>
<ol>
<li>
<p><strong>使用CSRF Token</strong></p>
<p>在每个表单里,都生成一个随机的token,保存在<a style="color:#f60; text-decoration:underline;" title="session" href="https://www.php.cn/zt/17098.html" target="_blank">session</a>里。 提交表单的时候,验证token是否一致。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>session_start();
function generate_csrf_token() {
return bin2hex(random_bytes(32));
}
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = generate_csrf_token();
}
// 在表单里
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
// 提交表单时
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
die("CSRF 攻击!");
}</pre>
登录后复制
</div></li>
<li>
<p><strong>验证HTTP Referer</strong></p>
<p>检查HTTP Referer头部,看请求是否来自自己的网站。 但这个方法不靠谱,因为Referer可以被伪造。 只能作为辅助手段。</p>
</li>
<li>
<p><strong>使用SameSite Cookie</strong></p>
<p>SameSite Cookie可以限制Cookie的发送范围,防止跨站请求携带Cookie。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>setcookie('my_cookie', 'value', ['samesite' => 'Strict']); // 或 'Lax'</pre>
登录后复制
</div><ul>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">Strict</pre>
登录后复制
</div>: Cookie只会在同站请求中发送。</li>
<li><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">Lax</pre>
登录后复制
</div>: Cookie会在同站请求和部分跨站请求中发送,比如点击链接。</li>
</ul>
</li>
</ol>
<p>PHP安全配置还有哪些需要注意的?</p>
<p>除了过滤用户输入,PHP的安全配置也很重要。</p>
<ol>
<li>
<p><strong>禁用危险函数</strong></p>
<p>在<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">php.ini</pre>
登录后复制
</div>里,用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">disable_functions</pre>
登录后复制
</div>指令禁用一些危险函数,比如<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">eval()</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">system()</pre>
登录后复制
</div>、<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">exec()</pre>
登录后复制
</div>等等。 这些函数可以执行任意代码,很容易被利用。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:ini;toolbar:false;'>disable_functions = eval,system,exec,shell_exec,passthru,phpinfo</pre>
登录后复制
</div></li>
<li>
<p><strong>关闭<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">display_errors</pre>
登录后复制
</div></strong></p>
<p>在生产环境里,不要显示错误信息。 错误信息可能会泄露敏感信息,比如数据库密码、文件路径等等。 把错误信息记录到日志里。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:ini;toolbar:false;'>display_errors = Off
log_errors = On
error_log = /path/to/php_errors.log</pre>
登录后复制
</div></li>
<li>
<p><strong>限制文件上传大小</strong></p>
<p>在<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">php.ini</pre>
登录后复制
</div>里,用<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">upload_max_filesize</pre>
登录后复制
</div>和<div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">post_max_size</pre>
登录后复制
</div>指令限制文件上传大小。 防止上传过大的文件,导致服务器崩溃。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:ini;toolbar:false;'>upload_max_filesize = 2M
post_max_size = 8M</pre>
登录后复制
</div></li>
<li>
<p><strong>使用最新的PHP版本</strong></p>
<p>PHP官方会定期发布安全更新,修复已知的漏洞。 保持PHP版本最新,可以避免被已知的漏洞攻击。</p>
</li>
<li>
<p><strong>设置open_basedir</strong></p>
<p>使用 <div class="code" style="position:relative; padding:0px; margin:0px;"><pre class="brush:php;toolbar:false;">open_basedir</pre>
登录后复制
</div> 指令限制PHP可以访问的文件目录。这可以防止恶意脚本访问敏感文件。</p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:ini;toolbar:false;'>open_basedir = /var/www/html:/tmp</pre>
登录后复制
</div></li>
</ol>
<p>记住,安全是一个持续的过程,需要不断学习和更新。没有绝对的安全,只有相对的安全。</p>
以上就是PHP如何过滤用户输入_PHP用户输入安全过滤方法详解的详细内容,更多请关注php中文网其它相关文章!
552
收藏
