讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
首页 > 后端开发 > php教程 > 正文

php过滤特殊危险字符的总结_PHP教程

php中文网
发布: 2016-07-13 10:47:58
原创
1223人浏览过

在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,希望此教程对各位有帮助。

一般,对于传进来的字符,php可以用addslashes函数处理一遍(要get_magic_quotes_gpc()为假才处理,不然就重复转义了!),这样就能达到一定程度的安全要求
比如这样

 代码如下 复制代码

if (!get_magic_quotes_gpc()) {    
     add_slashes($_GET);    
     add_slashes($_POST);    
     add_slashes($_COOKIE);    
}    
    
function add_slashes($string) {    
     if (is_array($string)) {    
         foreach ($string as $key => $value) {    
             $string[$key] = add_slashes($value);    
         }    
     } else {    
         $string = addslashes($string);    
     }    
     return $string;    
}

但是还可以更进一步进行重新编码,解码,如下:

 代码如下 复制代码

//编码

function htmlencode($str) {     
      if(empty($str)) return;
      if($str=="") return $str;      
      $str=trim($str);
      $str=str_replace("&","&",$str);
      $str=str_replace(">",">",$str);
      $str=str_replace("       $str=str_replace(chr(32)," ",$str);
      $str=str_replace(chr(9)," ",$str);
      $str=str_replace(chr(34),"&",$str);
      $str=str_replace(chr(39),"'",$str);
      $str=str_replace(chr(13),"
",$str);
      $str=str_replace("'","''",$str);
      $str=str_replace("select","select",$str);
      $str=str_replace("join","join",$str);
      $str=str_replace("union","union",$str);
      $str=str_replace("where","where",$str);
      $str=str_replace("insert","insert",$str);
      $str=str_replace("delete","delete",$str);
      $str=str_replace("update","update",$str);
      $str=str_replace("like","like",$str);
      $str=str_replace("drop","drop",$str);
      $str=str_replace("create","create",$str);
      $str=str_replace("modify","modify",$str);
      $str=str_replace("rename","rename",$str);
      $str=str_replace("alter","alter",$str);
      $str=str_replace("cast","cas",$str);      
      return $str; 
}

这样就能更放心的对外来数据进行入库处理了, 但是从数据库取出来,在前台显示的时候,必须重新解码一下:

 代码如下 复制代码

//解码

function htmldecode($str) {     
      if(empty($str)) return;
      if($str=="")  return $str;
      $str=str_replace("select","select",$str);
      $str=str_replace("join","join",$str);
      $str=str_replace("union","union",$str);
      $str=str_replace("where","where",$str);
      $str=str_replace("insert","insert",$str);
      $str=str_replace("delete","delete",$str);
      $str=str_replace("update","update",$str);
      $str=str_replace("like","like",$str);
      $str=str_replace("drop","drop",$str);
      $str=str_replace("create","create",$str);
      $str=str_replace("modify","modify",$str);
      $str=str_replace("rename","rename",$str);
      $str=str_replace("alter","alter",$str);
      $str=str_replace("cas","cast",$str);
      $str=str_replace("&","&",$str);
      $str=str_replace(">",">",$str);
      $str=str_replace("<","       $str=str_replace(" ",chr(32),$str);
      $str=str_replace(" ",chr(9),$str);
      $str=str_replace("&",chr(34),$str);
      $str=str_replace("'",chr(39),$str);
      $str=str_replace("
",chr(13),$str);
      $str=str_replace("''","'",$str);      
      return $str;
}

虽然多了一步编码,解码的过程,但是安全方面,会更进一步,要如何做,自己取舍吧。

灵光
灵光

蚂蚁集团推出的全模态AI助手

灵光 1635
查看详情 灵光

立即学习PHP免费学习笔记(深入)”;

再附一些

 代码如下 复制代码

function safe_replace($string) {
 $string = str_replace(' ','',$string);
 $string = str_replace(''','',$string);
 $string = str_replace(''','',$string);
 $string = str_replace('*','',$string);
 $string = str_replace('"','"',$string);
 $string = str_replace("'",'',$string);
 $string = str_replace('"','',$string);
 $string = str_replace(';','',$string);
 $string = str_replace('  $string = str_replace('>','>',$string);
 $string = str_replace("{",'',$string);
 $string = str_replace('}','',$string);
 return $string;
}

更全面的

 代码如下 复制代码

//处理提交的数据
function htmldecode($str) {
 if (empty ( $str ) || "" == $str) {
 return "";
 }
 
 $str = strip_tags ( $str );
 $str = htmlspecialchars ( $str );
 $str = nl2br ( $str );
 $str = str_replace ( "?", "", $str );
 $str = str_replace ( "*", "", $str );
 $str = str_replace ( "!", "", $str );
 $str = str_replace ( "~", "", $str );
 $str = str_replace ( "$", "", $str );
 $str = str_replace ( "%", "", $str );
 $str = str_replace ( "^", "", $str );
 $str = str_replace ( "^", "", $str );
 $str = str_replace ( "select", "", $str );
 $str = str_replace ( "join", "", $str );
 $str = str_replace ( "union", "", $str );
 $str = str_replace ( "where", "", $str );
 $str = str_replace ( "insert", "", $str );
 $str = str_replace ( "delete", "", $str );
 $str = str_replace ( "update", "", $str );
 $str = str_replace ( "like", "", $str );
 $str = str_replace ( "drop", "", $str );
 $str = str_replace ( "create", "", $str );
 $str = str_replace ( "modify", "", $str );
 $str = str_replace ( "rename", "", $str );
 $str = str_replace ( "alter", "", $str );
 $str = str_replace ( "cast", "", $str );
 
 $farr = array ("//s+/", //过滤多余的空白
"/]*?)>/isU", //过滤 <script></script> "/(]*)on[a-zA-Z]+/s*=([^>]*>)/isU" )//过滤javascript的on事件
;
 $tarr = array (" ", "", //如果要直接清除不安全的标签,这里可以留空
"" );
 return $str;
}

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/632822.htmlTechArticle在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,希望此教程对各...
相关标签:
php

大家都在看:

PHP速学教程(入门到精通)
PHP速学教程(入门到精通)

PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!

下载
来源:php中文网
收藏 点赞
上一篇:PHP验证码生成程序几种方法_PHP教程 下一篇:浅析php中open_basedir存在安全隐患_PHP教程
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
ubuntu怎么安装php环境_ubuntu命令行安装步骤【实操】 Ubuntu安装PHP环境只需用apt安装php及扩展并配置Web服务器:先更新源,再装php、php-fpm等核心包,Apache需libapache2-mod-php,Nginx需配置fastcgi_pass并重启服务,最后用info.php验证。
2025-12-21 20:05:51
555
PHP数组在Go里实现方法_两种语言数组转换技巧【指南】 Go中模拟PHP数组有两种核心方法:一、用map[string]interface{}配合切片维护键序实现关联数组;二、用[]interface{}切片加反射支持动态索引与自动扩容以模拟数值数组。
2025-12-21 20:01:48
605
PHP文件读写操作说明_PHP文件处理常用函数详解 PHP文件读写需按场景选函数:小文件用file_get_contents()/file_put_contents();大文件用fopen()配合fgets()/fwrite();权限/锁/二进制操作用底层指针函数;须注意路径安全、权限控制与编码问题。
2025-12-21 19:39:08
770
php源码怎么发到空间_php源码发空间上传与部署法【教程】 首先通过FTP、控制面板或Git将PHP源码上传至虚拟主机,然后配置文件权限、路径及PHP版本,确保服务器环境兼容并启用必要模块以完成部署。
2025-12-21 19:38:02
824
php二维数组表示语法_多维数组结构与定义方法【解析】 PHP二维数组有五种定义方法:一、array()嵌套;二、方括号短语法;三、循环动态构建;四、关联键名数组;五、array_fill()等函数批量生成。
2025-12-21 19:28:02
499
php网站源码怎么使用_php网站源码使用搭建与配置法【指南】 首先需配置PHP运行环境,安装XAMPP等集成软件并启动Apache和MySQL服务;接着将PHP源码放入htdocs目录并访问localhost/mysite测试;然后通过phpMyAdmin创建数据库并导入.sql文件,修改config.php中的数据库配置;再检查php.ini启用mysqli、pdo_mysql、gd等扩展,调整内存和上传限制;最后设置uploads、cache等目录可写权限,启用mod_rewrite模块并配置AllowOverrideAll以支持伪静态。
2025-12-21 18:47:02
711
cmd 怎么运行php文件_命令行运行php文件操作步骤【CMD】 PHP文件无法在CMD中执行时,需依次验证php-v是否可用、使用绝对路径、切换目录、用相对路径调用,或对含空格/中文路径加英文双引号。
2025-12-21 18:23:02
766
php怎么把数组截取一部分_php数组截取技巧【教程】 PHP中截取数组元素主要有四种方法:一、array_slice()提取子数组且不修改原数组;二、array_splice()可截取并删除原数组部分;三、结合array_keys()与array_intersect_key()处理关联数组;四、用foreach加计数器手动截取。
2025-12-21 17:42:41
108
php源码怎么分析_php源码分析逻辑与结构技巧 首先明确入口文件如index.php,追踪加载顺序与依赖;接着识别核心类与函数定义,分析其结构与调用关系;再梳理文件间引用链条,结合autoload机制理解架构;然后利用Xdebug等工具动态调试,观察运行时行为;最后借助注释、PHPDoc和日志增强理解,逐步构建完整逻辑视图。
2025-12-21 17:26:37
818
php怎么把mysql数据转成数组_php mysql数据转数组查询与解析技巧 需根据扩展(mysqli/PDO)及数组形态(索引/关联/双向)选择提取方式:一、mysqli_fetch_array(MYSQLI_BOTH)得混合数组;二、mysqli_fetch_assoc()得关联数组;三、mysqli_fetch_row()得数字索引数组;四、PDO::fetchAll()支持FETCH_ASSOC/FETCH_NUM/FETCH_BOTH;五、PDOFETCH_CLASS结合get_object_vars()转对象为数组。
2025-12-21 17:23:02
135
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部