目錄
php 安全过滤
首頁 後端開發 php教程 php 安全过滤_PHP教程

php 安全过滤_PHP教程

Jul 12, 2016 am 09:08 AM
android

php 安全过滤

/*ansic码-Url码表: http://www.w3school.com.cn/tags/html_ref_urlencode.html

-----------------------------------------------------------------------------------------------------------------

1、验证过滤用户的输入

即使是最普通的字母数字输入也可能是危险的,列举几个容易引起安全问题的字符:

!$ ^ & * ( ) ~ [ ] \ | { } ' " ; ? - `

在数据库中可能有特殊意义的字符:

'" ; \

还有一些非打印字符:

字符\x00或者说ASCII 0,NULL或FALSE

字符\x10和\x13,或者说ASCII 10和13,\n \r

字符\x1a或者说ASCII 26,表示文件的结束

输入错误的参数类型,也可能导致程序出现意想不到的错误。

输入过多的参数值,可能导致溢出等错误。

2、对于文件的路径与名称的过滤

文件名中不能包含二进制数据,否则可能引起问题。

一些系统允许Unicode多字节编码的文件名,但是尽量避免,应当使用ASCII的字符。

虽然Unix系统几乎可以在文件名设定中使用任何符号,但是应当尽量使用 - 和 _ 避免使用其他字符。

同时需要限定文件名的长度。

3、防止SQL注入

检查用户输入的类型,当用户输入的为数字时可以使用如下方式:

使用is_int()函数(或is_integer()或is_long()函数)

使用gettype()函数

使用intval()函数

使用settype()函数

检查用户输入字符串的长度使用strlen()函数。

检查日期或时间是否是有效的,可以使用strtotime()函数

4、防止XSS攻击

xss攻击一个常用的方法就是注入HTML元素执行js脚本,php中已经内置了一些防御的函数(如htmlentities或者htmlspecialchars)

5、过滤用户提交的URL

如果允许用户输入一个URL用来调用一个图片或者链接,你需要保证他不传入javascript:或者vbscript:或data:等非http协议。

可以使用php的内置函数parse_url()函数来分割URL,然后做判断。

6、防止远程执行--下表列出了跟Shell相关的一些字符:

远程执行通常是使用了php代码执行如eval()函数,或者是调用了命令执行如exec(),passthru(),proc_open(),shell_exec(),system()或popen()。

注入php代码:php为开发者提供了非常多的方法可以来调用允许php脚本,我们就需要注意对用户可控的数据进行过滤。

7、Shell命令执行

PHP提供了一些可以直接执行系统命令的函数,如exec()函数或者 `(反引号)。

PHP的安全模式会提供一些保护,但是也有一些方式可以绕过安全模式:

1、上传一个Perl脚本,或者Python或Ruby等,服务器支持的环境,来执行其他语言的脚本可绕过PHP的安全模式。

2、利用系统的缓冲溢出漏洞,绕过安全模式。

跟Shell相关的一些字符:

名称 字符 ASCII 16进制 URL编码 HTML编码

换行 10 \x0a %0a

感叹号 ! 33 \x21 %21 !

双引号 " 34 \x22 %22 "或"

美元符号 $ 36 \x24 %24 $

连接符 & 38 \x26 %26 &或amp

单引号 ' 39 \x27 %27 '

左括号 ( 40 \x28 %28 (

右括号 ) 41 \x29 %29 )

星号 * 42 \x2a %2a *

连字符号 - 45 \x2d %2d -

分号 ; 59 \x3b %3b ;

左尖括号

右尖括号 > 62 \x3e %3e >

问号 ? 63 \x3f %3f ?

左方括号 [ 91 \x5b %5b [

反斜线 \ 92 \x5c %5c \

右方括号 ] 93 \x5d %5d ]

插入符 ^ 94 \x5e %5e ^

反引号 ` 96 \x60 %60 `

左花括号 { 123 \x7b %7b {

管道符 | 124 \x7c %7c |

右花括号 } 125 \x7d %7d }

波浪号 ~ 126 \x7e %7e ~

-----------------------------------------------------------------------------------------------------------------

安全过滤函数代码*/

/**

* 安全过滤输入[jb]

*/

function check_str($string, $isurl = false)

{

$string= preg_replace('/[\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F]/','',$string); //去掉控制字符

$string= str_replace(array("\0","%00","\r"),'',$string);//\0表示ASCII 0x00的字符,通常作为字符串结束标志;这三个都是可能有害字符

empty($isurl)&& $string =preg_replace("/&(?!(#[0-9]+|[a-z]+);)/si",'&',$string);//HTML里面可以用xx;来对一些字符进行编码,比如 (空格), ? Unicode字符等,A(?!B) 表示的是A后面不是B,所以作者想保留 ?类似的 HTML编码字符,去掉其他的问题字符

$string= str_replace(array("%3C",'

$string= str_replace(array("%3E",'>'),'>',$string);

$string= str_replace(array('"',"'","\t",' '),array('“','‘','',' '),$string);

returntrim($string);

}

/**

* 安全过滤类-过滤javascript,css,iframes,object等不安全参数 过滤级别高

* @param string $value 需要过滤的值

* @return string

*/

function fliter_script($value) {

$value=preg_replace("/(javascript:)?on(click|load|key|mouse|error|abort|move|unload|change|dblclick|move|reset|resize|submit)/i","&111n\\2",$value);

$value= preg_replace("/(.*?)/si","",$value);

$value= preg_replace("/(.*?)/si","",$value);

$value= preg_replace ("//iesU", '', $value);

return$value;

}

/**

* 安全过滤类-过滤HTML标签

* @param string $value 需要过滤的值

* @return string

*/

function fliter_html($value) {

if(function_exists('htmlspecialchars')) return htmlspecialchars($value);

returnstr_replace(array("&", '"', "'", ""), array("&", "\"", "'",""), $value);

}

/**

* 安全过滤类-对进入的数据加下划线 防止SQL注入

* @param string $value 需要过滤的值

* @return string

*/

function fliter_sql($value) {

$sql= array("select", 'insert', "update", "delete","\'", "\/\*","\.\.\/", "\.\/","union", "into", "load_file","outfile");

$sql_re=array("","","","","","","","","","","","");

returnstr_replace($sql, $sql_re, $value);

}

/**

* 安全过滤类-通用数据过滤

* @param string $value 需要过滤的变量

* @return string|array

*/

function fliter_escape($value) {

if(is_array($value)) {

foreach($value as $k => $v) {

$value[$k]= self::fliter_str($v);

}

}else {

$value= self::fliter_str($value);

}

return$value;

}

/**

* 安全过滤类-字符串过滤 过滤特殊有危害字符

* @param string $value 需要过滤的值

* @return string

*/

function fliter_str($value) {

$badstr= array("\0", "%00", "\r", '&', ' ','"', "'", "", " ", "%3C", "%3E");

$newstr= array('', '', '', '&', ' ', '"', ''', "", " ","");

$value = str_replace($badstr, $newstr, $value);

$value =preg_replace('/&((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $value);

return$value;

}

/**

* 私有路劲安全转化

* @param string $fileName

* @return string

*/

function filter_dir($fileName) {

$tmpname= strtolower($fileName);

$temp= array(':/',"\0", "..");

if(str_replace($temp, '', $tmpname) !== $tmpname) {

returnfalse;

}

return$fileName;

}

/**

* 过滤目录

* @param string $path

* @return array

*/

public function filter_path($path) {

$path= str_replace(array("'",'#','=','`','$','%','&',';'), '', $path);

returnrtrim(preg_replace('/(\/){2,}|(\\\){1,}/', '/', $path), '/');

}

/**

* 过滤PHP标签

* @param string $string

* @return string

*/

public function filter_phptag($string) {

returnstr_replace(array(''), array('', '?>'), $string);

}

/**

* 安全过滤类-返回函数

* @param string $value 需要过滤的值

* @return string

*/

public function str_out($value) {

$badstr= array("", "%3C", "%3E");

$newstr= array("", "");

$value = str_replace($newstr, $badstr, $value);

returnstripslashes($value); //下划线

}

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/1055558.htmlTechArticlephp 安全过滤 /*ansic码-Url码表: http://www.w3school.com.cn/tags/html_ref_urlencode.html -----------------------------------------------------------------------------------...
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

<🎜>:泡泡膠模擬器無窮大 - 如何獲取和使用皇家鑰匙
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
北端:融合系統,解釋
3 週前 By 尊渡假赌尊渡假赌尊渡假赌

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

熱門話題

Java教學
1664
14
CakePHP 教程
1423
52
Laravel 教程
1318
25
PHP教程
1268
29
C# 教程
1248
24
新報告對傳聞中的三星 Galaxy S25、Galaxy S25 Plus 和 Galaxy S25 Ultra 相機升級進行了嚴厲的評估 新報告對傳聞中的三星 Galaxy S25、Galaxy S25 Plus 和 Galaxy S25 Ultra 相機升級進行了嚴厲的評估 Sep 12, 2024 pm 12:23 PM

最近幾天,Ice Universe 不斷披露有關 Galaxy S25 Ultra 的詳細信息,人們普遍認為這款手機將是三星的下一款旗艦智慧型手機。除此之外,洩密者聲稱三星只計劃升級一台相機

三星 Galaxy S25 Ultra 洩漏了第一張渲染圖,傳聞中的設計變化被曝光 三星 Galaxy S25 Ultra 洩漏了第一張渲染圖,傳聞中的設計變化被曝光 Sep 11, 2024 am 06:37 AM

OnLeaks 現在與 Android Headlines 合作,首次展示了 Galaxy S25 Ultra,幾天前,他試圖從他的 X(以前的 Twitter)粉絲那裡籌集到 4,000 美元以上的資金,但失敗了。對於上下文,嵌入在 h 下面的渲染圖像

IFA 2024 | TCL 的 NXTPAPER 14 在性能上無法與 Galaxy Tab S10 Ultra 相媲美,但在尺寸上幾乎可以與之媲美 IFA 2024 | TCL 的 NXTPAPER 14 在性能上無法與 Galaxy Tab S10 Ultra 相媲美,但在尺寸上幾乎可以與之媲美 Sep 07, 2024 am 06:35 AM

除了發布兩款新智慧型手機外,TCL 還發布了一款名為 NXTPAPER 14 的新 Android 平板電腦,其大螢幕尺寸是其賣點之一。 NXTPAPER 14 採用 TCL 標誌性品牌霧面液晶面板 3.0 版本

Vivo Y300 Pro 在 7.69 毫米纖薄機身中配備 6,500 mAh 電池 Vivo Y300 Pro 在 7.69 毫米纖薄機身中配備 6,500 mAh 電池 Sep 07, 2024 am 06:39 AM

Vivo Y300 Pro剛剛全面亮相,它是最薄的中階Android手機之一,配備大電池。準確來說,這款智慧型手機厚度僅為 7.69 毫米,但配備 6,500 mAh 電池。這與最近推出的容量相同

三星 Galaxy S24 FE 預計將以低於預期的價格推出,有四種顏色和兩種記憶體選項 三星 Galaxy S24 FE 預計將以低於預期的價格推出,有四種顏色和兩種記憶體選項 Sep 12, 2024 pm 09:21 PM

三星尚未就何時更新其 Fan Edition (FE) 智慧型手機系列提供任何提示。目前來看,Galaxy S23 FE 仍然是該公司的最新版本,於 2023 年 10 月年初推出。

新報告對傳聞中的三星 Galaxy S25、Galaxy S25 Plus 和 Galaxy S25 Ultra 相機升級進行了嚴厲的評估 新報告對傳聞中的三星 Galaxy S25、Galaxy S25 Plus 和 Galaxy S25 Ultra 相機升級進行了嚴厲的評估 Sep 12, 2024 pm 12:22 PM

最近幾天,Ice Universe 不斷披露有關 Galaxy S25 Ultra 的詳細信息,人們普遍認為這款手機將是三星的下一款旗艦智慧型手機。除此之外,洩密者聲稱三星只計劃升級一台相機

摩托羅拉 Razr 50s 在早期洩漏中顯示自己可能是新的預算可折疊手機 摩托羅拉 Razr 50s 在早期洩漏中顯示自己可能是新的預算可折疊手機 Sep 07, 2024 am 09:35 AM

摩托羅拉今年發布了無數設備,儘管其中只有兩款是可折疊的。就上下文而言,雖然世界上大多數地區都收到了 Razr 50 和 Razr 50 Ultra,但摩托羅拉在北美提供了 Razr 2024 和 Razr 2

小米紅米 Note 14 Pro Plus 上市,成為首款配備 Light Hunter 800 相機的高通 Snapdragon 7s Gen 3 智慧型手機 小米紅米 Note 14 Pro Plus 上市,成為首款配備 Light Hunter 800 相機的高通 Snapdragon 7s Gen 3 智慧型手機 Sep 27, 2024 am 06:23 AM

Redmi Note 14 Pro Plus 現已正式成為去年 Redmi Note 13 Pro Plus 的直接後繼產品(亞馬遜售價 375 美元)。正如預期的那樣,Redmi Note 14 Pro Plus與Redmi Note 14和Redmi Note 14 Pro一起成為Redmi Note 14系列的主角。李

See all articles