龙行博客

走路看风景,经历看人生,岁月留痕迹,人生留轨迹,17的历史,18的豪情,时间的匆忙,人生的风景,放开心胸往前走,成功再远行,放开理想往前走,梦想再行动。
现在位置:首页 > 编程语言 > PHP > php各种过滤方法

php各种过滤方法

龙行    PHP    2019-6-5    369    0评论    本文已被百度收录点击查看详情
    /**
     * 防sql注入字符串转义
     * @param $content 要转义内容
     * @return array|string
     */
    public static function escapeString($content) {
        $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])|(drop[\s])/i";
        if (is_array($content)) {
            foreach ($content as $key=>$value) {
                $content[$key] = addslashes(trim($value));
                if(preg_match($pattern,$content[$key])) {
                    $content[$key] = '';
                }
            }
        } else {
            $content=addslashes(trim($content));
            if(preg_match($pattern,$content)) {
                $content = '';
            }
        }
        return $content;
    }
 
防XSS攻击代码:
 
/**
 * 安全过滤函数
 *
 * @param $string
 * @return string
 */
function safe_replace($string) {
    $string = str_replace('%20','',$string);
    $string = str_replace('%27','',$string);
    $string = str_replace('%2527','',$string);
    $string = str_replace('*','',$string);
    $string = str_replace('"','"',$string);
    $string = str_replace("'",'',$string);
    $string = str_replace('"','',$string);
    $string = str_replace(';','',$string);
    $string = str_replace('<','&lt;',$string);
    $string = str_replace('>','&gt;',$string);
    $string = str_replace("{",'',$string);
    $string = str_replace('}','',$string);
    $string = str_replace('\\','',$string);
    return $string;
}
 
代码实例:
 
<?php
$user_name = strim($_REQUEST['user_name']);
 
function strim($str)
{
    //trim() 函数移除字符串两侧的空白字符或其他预定义字符。
    //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体(防xss攻击)。
    //预定义的字符是:
    //& (和号)成为 &amp;
    //" (双引号)成为 &quot;
    //' (单引号)成为 '
    //< (小于)成为 &lt;
    //> (大于)成为 &gt;
    return quotes(htmlspecialchars(trim($str)));
}
//防sql注入
function quotes($content)
{
    //if $content is an array
    if (is_array($content))
    {
        foreach ($content as $key=>$value)
        {
            //$content[$key] = mysql_real_escape_string($value);
            /*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
            预定义字符是:
            单引号(')
            双引号(")
            反斜杠(\)
            NULL */
            $content[$key] = addslashes($value);
        }
    } else
    {
        //if $content is not an array
        //$content=mysql_real_escape_string($content);
        $content=addslashes($content);
    }
    return $content;
}
 
?>
 
//过滤sql注入
function filter_injection(&$request)
{
    $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";
    foreach($request as $k=>$v)
    {
                if(preg_match($pattern,$k,$match))
                {
                        die("SQL Injection denied!");
                }
 
                if(is_array($v))
                {
                    filter_injection($request[$k]);
                }
                else
                {
                    if(preg_match($pattern,$v,$match))
                    {
                        die("SQL Injection denied!");
                    }
                }
    }
 
}
 
防sql注入: 
mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。 
下列字符受影响: 
\x00 
\n 
\r 

’ 
” 
\x1a 
如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。 
语法 
mysql_real_escape_string(string,connection) 
参数 描述 
string 必需。规定要转义的字符串。 
connection 可选。规定 MySQL 连接。如果未规定,则使用上一个连接。
 
对于纯数字或数字型字符串的校验可以用 
is_numeric()检测变量是否为数字或数字字符串 
实例:
 
<?php 
function get_numeric($val) { 
  if (is_numeric($val)) { 
    return $val + 0; 
  } 
  return 0; 

?>
 
is_array — 检测变量是否是数组 
bool is_array ( mixed $var ) 
如果 var 是 array,则返回 TRUE,否则返回 FALSE。
 
is_dir 判断给定文件名是否是一个目录 
bool is_dir ( string $filename ) 
判断给定文件名是否是一个目录。 
如果文件名存在,并且是个目录,返回 TRUE,否则返回FALSE。
 
is_file — 判断给定文件名是否为一个正常的文件 
bool is_file ( string $filename ) 
判断给定文件名是否为一个正常的文件。 
如果文件存在且为正常的文件则返回 TRUE,否则返回 FALSE。 
Note: 因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型,对 2GB 以上的文件,一些文件系统函数可能返回无法预期的结果 。
 
is_bool — 检测变量是否是布尔型 
bool is_bool ( mixed $var )如果 var 是 boolean 则返回 TRUE。
 
is_string — 检测变量是否是字符串 
bool is_string ( mixed $var ) 
如果 var 是 string 则返回 TRUE,否则返回 FALSE。
 
is_int — 检测变量是否是整数 
bool is_int ( mixed $var ) 
如果 var 是 integer 则返回 TRUE,否则返回 FALSE。 
Note: 
若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。
 
is_float — 检测变量是否是浮点型 
bool is_float ( mixed $var ) 
如果 var 是 float 则返回 TRUE,否则返回 FALSE。 
Note: 
若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。
 
is_null — 检测变量是否为 NULL 
bool is_null ( mixed $var ) 
如果 var 是 null 则返回 TRUE,否则返回 FALSE。
 
is_readable — 判断给定文件名是否可读 
bool is_readable ( string $filename )判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE,否则返回 FALSE。
 
is_writable — 判断给定的文件名是否可写 
bool is_writable ( string $filename ) 
如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。
 
file_exists — 检查文件或目录是否存在 
bool file_exists ( string $filename ) 
检查文件或目录是否存在。 
在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。 
如果由 filename 指定的文件或目录存在则返回 TRUE,否则返回 FALSE。
 
is_executable — 判断给定文件名是否可执行 
bool is_executable ( string $filename )判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE,错误时返回FALSE。

评论一下 分享本文 赞助站长

赞助站长X

扫码赞助站长
联系站长
龙行博客
  • 版权申明:此文如未标注转载均为本站原创,自由转载请表明出处《龙行博客》。
  • 本文网址:https://www.liaotaoo.cn/241.html
  • 上篇文章:linux安装Redis-Server
  • 下篇文章:php的无限极分类
  • php
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论
快捷导航
联系博主
在线壁纸
给我留言
光羽影视
音乐欣赏
返回顶部