php教程 php手册 php非法字符过滤

php非法字符过滤

May 25, 2016 pm 04:40 PM

1) 当需要把用户输入的内容,有可能包含单引号、双引号 、反斜线、空字元 NUL,到mysql的语句中执行时,应该把APACHE中的magic_quotes_gpc项设成On.

如果APACHE中的此项设成Off时,也可用php的函数addslashes()达到相同的目的,但这两种手段不能同时使用,否则会出现重复替换,出现错误.

样例PHP代码如下:

<?php      
	    
	if (get_magic_quotes_gpc()) {      
	    
	    $content=$_POST["content"];      
	    
	} else {      
	    
	    $content=addslashes($_POST["content"]);      
	    
	}      
	    
	 
로그인 후 복사

当然,如果APACHE中的magic_quotes_gpc项为On,但有时又不想转义某项的特殊字符,可以使用stripslashes()去掉其中的 .

2) 过滤影响MSSQL正常运行的字符。

当需要把用户输入的内容,有可能包含单引号,到mssql的语句中执行时,应该把APACHE中的magic_quotes_sybase项设成On,此时magic_quotes_gpc项不再生效.

如果APACHE中的此项设成Off时,php中并没有合适的函数达到相同的目的,只能使用字符串替换函数来达到此目的.

样例,PHP代码:

<?php 
	$content=str_replace("&#39;","&#39;&#39;"$_POST["content"]);      
	 
로그인 후 복사

现在10.218.17.53上的PHP既要访问mysql又要访问mssql,APACHE中的设置不能兼顾两种数据库,所以只对mysql做了相应设置.

2. 应对用户输入包含SQL语句的一个措施。

以下两种SQL写法都比较普遍,但安全程度是不同的,当用户提交的$id='1 and 1=2 union select ...'时第一种就会显示出不该显示的数据,而第二种就相对安全些.

SQL代码:

Select * FROM article Where articleid=$id

Select * FROM article Where articleid='$id'

3. 防止用户输入的内容因包含html标签或javascript而影响页面的正常显示,可以用htmlspecialchars()过滤其中的 & " < >,PHP代码:

$content = htmlspecialchars($content);

4. 当页面要显示的内容包含回车换行时,可以使用nl2br()来达到页面上换行的效果.

方法一.

<?php 
	function chkstr($paravalue,$paratype) //过滤非法字符 
	{ 
	 if($paratype==1) 
	 { 
	  $inputstr=str_replace("&#39;","&#39;&#39;",$paravalue); 
	  } 
	 elseif($paratype==2) 
	 { 
	  $inputstr=str_replace("&#39;","",$paravalue); 
	  }//开源代码phprm.com 
	 return $inputstr; 
	} 
	$user1=chkstr($_GET["user"],1); 
	$user2=chkstr($_GET["user"],2); 
	//$user=$_GET["user"]; 
	print "方式1-----------------<br>"; 
	print "$user1 <br>"; 
	print "方式2-----------------<br>"; 
	print "$user2 <br>"; 
	 
로그인 후 복사

方法二.

<?php 
	//用法:qstr($str, get_magic_quotes_gpc()) 
	function qstr($string, $magic_quotes=false, $tag=false) 
	{ 
	  $tag_str = &#39;&#39;; 
	  if ($tag) $tag_str = "&#39;"; 
	  if (!$magic_quotes) { 
	    if (strnatcmp(PHP_VERSION, &#39;4.3.0&#39;) >= 0) { 
	      return $tag_str.mysql_real_escape_string($string).$tag_str; 
	    } 
	    $string = str_replace("&#39;", "[url=file://\]\&#39;[/url]" , str_replace(&#39;\&#39;, &#39;\\&#39;, str_replace("", "[url=]\[/url]", $string))); 
	    return  $tag_str.$string.$tag_str; 
	  } 
	  return $tag_str.str_replace(&#39;\"&#39;, &#39;"&#39;, $string).$tag_str; 
	} 
	 
로그인 후 복사

教程地址:

欢迎转载!但请带上文章地址^^

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

뜨거운 기사 태그

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)