十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
表单提交过来的数据要进行数据库操作的话是必须要尽心字符过滤的,防止SQL注入,保证数据安全
创新互联建站是一家专注于成都做网站、成都网站设计、成都外贸网站建设与策划设计,琼山网站建设哪家好?创新互联建站做网站,专注于网站建设十余年,网设计领域的专业建站公司;建站业务涵盖:琼山等地区。琼山做网站价格咨询:18980820575
function clean($v) {
//判断magic_quotes_gpc是否为打开
if (!get_magic_quotes_gpc()) {
//进行magic_quotes_gpc没有打开的情况对提交数据的过滤
$v = addslashes($v);
}
//把'_'过滤掉
$v = str_replace("_", "\_", $v);
//把'%'过滤掉
$v = str_replace("%", "\%", $v);
//把'*'过滤掉
$v = str_replace("*", "\*", $v);
//回车转换
$v = nl2br($v);
//html标记转换
$v = htmlspecialchars($v);
return $v;
}
如果需要,还可以屏蔽一下危险字符,例如insert, update, delete等
//将update去掉
$v = str_replace("update", "", $v);
最后,在拼装sql语句时,用户输入的东西,全括在单引号内
PHP 5.2以及更高的版本,PHP filter被绑定于系统,它可以对数据进行自动的过滤和判断。 第一种、PHP filter判断一个变量的内容是否符合要求 使用函数filter_var,第一个参数是要判断的变量。第二个参数是判断的要求,FILTER_VALIDATE_EMAIL表示判断是否符合email格式。如果变量是类似’boy@163.com’的数据,系统就会完整的输出‘boy@163.com’。如果是错误的格式,比如’boy’,就会输出false。如果没有填写表单中的email字段,系统输出空字符串。$email=‘boy@163.com’; echofilter_var($email, FILTER_VALIDATE_EMAIL); 第二种、PHP filter根据要求过滤一个变量的内容 和上面唯一的不同是第二个参数使用FILTER_SANITIZE_EMAIL,输出的结果会不同。如果变量是类似’boy@163.com’的数据,系统就会完整的输出’boy@163.com’。如果是错误的格式,比如’boy-afds3′,只要是数字和字母和划线等email格式中可以出现的内容,系统同样会完整的输出’boy-afds3′。如果变量没有设置内容,系统输出空字符串。如果是’boy阿三’,系统会把email格式中不允许的东西去除,输出’boy’。$email=‘boy@163.com’; echofilter_var($email, FILTER_SANITIZE_EMAIL); 第三种、PHP filter判断输入的变量的内容是否符合要求 使用函数filter_input。第一个参数表示从那里获得的数据,INPUT_POST表示通过POST方法传递过来,还可以使用INPUT_GET, INPUT_COOKIE, INPUT_SERVER, INPUT_ENV,代表相应的途径。第二个参数就是数据的名称。第三个参数代表过滤的要求,FILTER_VALIDATE_EMAIL表示判断数据是否符合email格式。 假设通过表单的POST过来的一个字段email。如果是类似 ’boy@163.com’ 的数据,系统就会完整的输出’boy@163.com’。如果是错误的格式,比如’boy’,就会输出false。如果没有填写表单中的email字段,系统输出null,也就是空。 echofilter_input(INPUT_POST, ‘email’,FILTER_VALIDATE_EMAIL); 第四种、PHP filter根据要求过滤输入的变量的内容 和上面唯一的不同是第二个参数使用FILTER_SANITIZE_EMAIL,输出的结果会不同。假设通过表单的POST过来的一个字段email。 如果是类似’boy@163.com’的数据,系统就会完整的输出’boy@163.com’。如果是错误的格式,比如’boy-afds3′,只要是数字和字母和划线等email格式中可以出现的内容,系统同样会完整的输出’boy-afds3′。如果没有填写表单中的email字段,系统输出null,也就是空。如果是’boy阿三’源码天空 ,系统会把email格式中不允许的东西去除,输出’boy’。 echofilter_input (INPUT_POST,‘email’,
假定你的数据在数据$demo中,我们来写段代码进行过滤。
$count = 0;
foreach($demo as $ditem){
if(($ditem['a']==0)||($ditem['b']==0)||($ditem['c']==0)||($ditem['c']==0)) continue;
echo $ditem['id'].' '.$ditem['a'].' '.$ditem['b'].' '.$ditem['c'].' '.$ditem['d'].' '.$ditem['e']."br";
$count++;
}
echo '总行数:'.$count;
可以采用以下几点措施。
(1)在用户数据进入数据库之前使用addslashes()函数过滤,可以进行一些字符的转义,并过滤掉可能引起数据库问题的字符。可以使用stripslashes()将数据返回到原始形式。
(2)在php.infi中开启magic_quotes_gpc和magic_quotes_runtime指令。它们可以自动的添加和过滤斜杠,前者主要用于格式化GET,POST,和cookie变量,后者用于过滤进出数据库的数据。
(3)当在system()或者exex()函数中使用用户输入数据作为参数时,必须使用escapeshellcmd()。用来避免怀有恶意的用户强迫系统运行某些命令。
(4)可以使用stip_tags()从一个字符串中去掉HTML和PHP标记,这样可以避免用户将恶意节本植入到用户的数据中。
(5)可以使用htmlspecialchars(),可以将字符专程它们的HTML等价实体。例如,将被转换成lt; ,该函数可以将任何脚本转换成无害的字符。
总之,在使用用户的数据时,一定要小心,原则即是不要相信用户输入的任何数据,必须要进行过滤和转换。