应综合运用filter_var()、htmlspecialchars()、PDO预处理语句、正则白名单及HTMLPurifier五种方法:一用filter_var()标准化和验证数据;二用htmlspecialchars()转义输出防XSS;三用PDO预处理分离SQL逻辑与参数防注入;四用正则白名单限定输入格式;五用HTMLPurifier净化富文本。
如果用户提交的数据未经处理直接进入PHP应用程序,可能导致SQL注入、XSS攻击或命令执行等安全风险。以下是过滤用户输入数据的多种方法:
一、使用filter_var()函数进行基础过滤
filter_var()是PHP内置的轻量级过滤函数,适用于验证和清理常见类型的数据,如邮箱、URL、整数等,无需额外扩展即可使用。
1、对邮箱地址进行标准化过滤:$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
2、对整数输入进行强制转换并去除非法字符:$id = filter_var($_POST['id'], FILTER_SANITIZE_NUMBER_INT);
立即学习“PHP免费学习笔记(深入)”;
3、验证邮箱格式是否合法:if (filter_var($email, FILTER_VALIDATE_EMAIL) === false) { /* 处理无效邮箱 */ }
二、使用htmlspecialchars()防止XSS攻击
该函数将特殊HTML字符转换为实体,确保用户输入在输出到浏览器时不会被解析为可执行代码,是防御反射型和存储型XSS的核心手段。
1、对所有输出到HTML页面的用户数据调用该函数:echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
2、在模板中统一包装变量输出:php echo htmlspecialchars($title, ENT_HTML5, 'UTF-8'); ?>
3、注意必须显式指定字符编码(如'UTF-8'),否则在旧版本PHP中可能因默认编码不一致导致绕过。
三、使用PDO预处理语句防止SQL注入
预处理语句将SQL逻辑与用户数据完全分离,数据库引擎在执行前已编译语句结构,参数仅作为纯数据绑定,从根本上杜绝SQL注入可能。
1、创建PDO实例并设置错误模式为异常:$pdo = new PDO($dsn, $user, $pass, [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);
2、编写含占位符的SQL语句:$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :name AND status = ?");
3、绑定参数并执行:$stmt->bindValue(':name', $_POST['username'], PDO::PARAM_STR); $stmt->bindValue(1, 1, PDO::PARAM_INT); $stmt->execute();
四、使用正则表达式进行自定义白名单过滤
当业务需要严格限定输入格式(如用户名仅允许字母数字下划线)时,应采用白名单正则匹配,拒绝一切未明确允许的字符。
1、定义用户名白名单规则:$username = preg_replace('/[^a-zA-Z0-9_]/', '', $_POST['username']);
2、验证手机号是否符合中国大陆格式:if (!preg_match('/^1[3-9]\d{9}$/', $_POST['phone'])) { /* 拒绝非法号码 */ }
3、对文件上传的原始文件名做安全截取:$safe_name = preg_replace('/[^a-zA-Z0-9._-]/', '_', $_FILES['file']['name']);
五、使用HTMLPurifier库清理富文本内容
对于允许用户提交HTML内容的场景(如评论、文章编辑),内置函数无法满足复杂标签控制需求,HTMLPurifier提供可配置的白名单机制,能安全保留所需标签并剥离危险属性。
1、通过Composer安装:composer require ezyang/htmlpurifier
2、初始化配置对象并设置允许的HTML元素:$config = HTMLPurifier_Config::createDefault(); $config->set('HTML.Allowed', 'p,b,i,a[href|title],ul,ol,li');
3、实例化净化器并过滤输入:$clean_html = $purifier->purify($_POST['content']);
