2. 程式人生 > >php對前臺提交的表單資料做安全處理(防SQL注入和XSS攻擊等)

php對前臺提交的表單資料做安全處理(防SQL注入和XSS攻擊等)

阿新 發佈:2018-10-31 
/**
     * 防sql注入字串轉義
     * @param $content 要轉義內容
     * @return array|string
     */
    public static function escapeString($content) {
        $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])|(drop[\s])/i";
        if (is_array($content)) {
            foreach ($content as $key=>$value) {
                $content[$key] = addslashes(trim($value));
                if(preg_match($pattern,$content[$key])) {
                    $content[$key] = '';
                }
            }
        } else {
            $content=addslashes(trim($content));
            if(preg_match($pattern,$content)) {
                $content = '';
            }
        }
        return $content;
    }

防XSS攻擊程式碼:

/**
 * 安全過濾函式
 *
 * @param $string
 * @return string
 */
function safe_replace($string) {
    $string = str_replace('%20','',$string);
    $string = str_replace('%27','',$string);
    $string = str_replace('%2527','',$string);
    $string = str_replace('*','',$string);
    $string = str_replace('"','"',$string);
    $string = str_replace("'",'',$string);
    $string = str_replace('"','',$string);
    $string = str_replace(';','',$string);
    $string = str_replace('<','&lt;',$string);
    $string = str_replace('>','&gt;',$string);
    $string = str_replace("{",'',$string);
    $string = str_replace('}','',$string);
    $string = str_replace('\\','',$string);
    return $string;
}

程式碼例項:

<?php
$user_name = strim($_REQUEST['user_name']);

function strim($str)
{
    //trim() 函式移除字串兩側的空白字元或其他預定義字元。
    //htmlspecialchars() 函式把預定義的字元轉換為 HTML 實體(防xss攻擊)。
    //預定義的字元是:
    //& (和號)成為 &amp;
    //" (雙引號)成為 &quot;
    //' (單引號)成為 '
    //< (小於)成為 &lt;
    //> (大於)成為 &gt;
    return quotes(htmlspecialchars(trim($str)));
}
//防sql注入
function quotes($content)
{
    //if $content is an array
    if (is_array($content))
    {
        foreach ($content as $key=>$value)
        {
            //$content[$key] = mysql_real_escape_string($value);
            /*addslashes() 函式返回在預定義字元之前新增反斜槓的字串。
            預定義字元是:
            單引號(')
            雙引號(")
            反斜槓(\)
            NULL */
            $content[$key] = addslashes($value);
        }
    } else
    {
        //if $content is not an array
        //$content=mysql_real_escape_string($content);
        $content=addslashes($content);
    }
    return $content;
}

?>
 
//過濾sql注入
function filter_injection(&$request)
{
    $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";
    foreach($request as $k=>$v)
    {
                if(preg_match($pattern,$k,$match))
                {
                        die("SQL Injection denied!");
                }

                if(is_array($v))
                {
                    filter_injection($request[$k]);
                }
                else
                {
                    if(preg_match($pattern,$v,$match))
                    {
                        die("SQL Injection denied!");
                    }
                }
    }

}

防sql注入: 
mysql_real_escape_string() 函式轉義 SQL 語句中使用的字串中的特殊字元。 
下列字元受影響: 
\x00 
\n 
\r 

’ 
” 
\x1a 
如果成功,則該函式返回被轉義的字串。如果失敗,則返回 false。 
語法 
mysql_real_escape_string(string,connection) 
引數 描述 
string 必需。規定要轉義的字串。 
connection 可選。規定 MySQL 連線。如果未規定,則使用上一個連線。

對於純數字或數字型字串的校驗可以用 
is_numeric()檢測變數是否為數字或數字字串 
例項:

<?php 
function get_numeric($val) { 
  if (is_numeric($val)) { 
    return $val + 0; 
  } 
  return 0; 
} 
?>

is_array — 檢測變數是否是陣列 
bool is_array ( mixed $var ) 
如果 var 是 array,則返回 TRUE,否則返回 FALSE。

is_dir 判斷給定檔名是否是一個目錄 
bool is_dir ( string $filename ) 
判斷給定檔名是否是一個目錄。 
如果檔名存在,並且是個目錄,返回 TRUE,否則返回FALSE。

is_file — 判斷給定檔名是否為一個正常的檔案 
bool is_file ( string $filename ) 
判斷給定檔名是否為一個正常的檔案。 
如果檔案存在且為正常的檔案則返回 TRUE,否則返回 FALSE。 
Note: 因為 PHP 的整數型別是有符號整型而且很多平臺使用 32 位整型,對 2GB 以上的檔案,一些檔案系統函式可能返回無法預期的結果 。

is_bool — 檢測變數是否是布林型 
bool is_bool ( mixed $var )如果 var 是 boolean 則返回 TRUE。

is_string — 檢測變數是否是字串 
bool is_string ( mixed $var ) 
如果 var 是 string 則返回 TRUE,否則返回 FALSE。

is_int — 檢測變數是否是整數 
bool is_int ( mixed $var ) 
如果 var 是 integer 則返回 TRUE,否則返回 FALSE。 
Note: 
若想測試一個變數是否是數字或數字字串(如表單輸入,它們通常為字串),必須使用 is_numeric()。

is_float — 檢測變數是否是浮點型 
bool is_float ( mixed $var ) 
如果 var 是 float 則返回 TRUE,否則返回 FALSE。 
Note: 
若想測試一個變數是否是數字或數字字串(如表單輸入,它們通常為字串),必須使用 is_numeric()。

is_null — 檢測變數是否為 NULL 
bool is_null ( mixed $var ) 
如果 var 是 null 則返回 TRUE,否則返回 FALSE。

is_readable — 判斷給定檔名是否可讀 
bool is_readable ( string $filename )判斷給定檔名是否存在並且可讀。如果由 filename 指定的檔案或目錄存在並且可讀則返回 TRUE,否則返回 FALSE。

is_writable — 判斷給定的檔名是否可寫 
bool is_writable ( string $filename ) 
如果檔案存在並且可寫則返回 TRUE。filename 引數可以是一個允許進行是否可寫檢查的目錄名。

file_exists — 檢查檔案或目錄是否存在 
bool file_exists ( string $filename ) 
檢查檔案或目錄是否存在。 
在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 來檢查網路中的共享檔案。 
如果由 filename 指定的檔案或目錄存在則返回 TRUE,否則返回 FALSE。

is_executable — 判斷給定檔名是否可執行 
bool is_executable ( string $filename )判斷給定檔名是否可執行。如果檔案存在且可執行則返回 TRUE,錯誤時返回FALSE。

轉載自:https://blog.csdn.net/u013372487/article/details/51516186

相關推薦

php前臺提交資料安全處理SQL注入XSS攻擊

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

ajax提交資料不跳轉

1.onsubmit form表單的onsubmit方法在submit執行之前提交表單 <script type="text/javascript"> function sub() { // jquery 表單提交 $("#formI

ajax方式提交資料並判斷當前註冊使用者是否存在

專案的目錄結構 原始碼: regservlet.java package register; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; imp

JS:AJAX提交資料

方法一、前臺通過物件傳遞引數,後臺通過物件的屬性獲取值 jsp程式碼: $.ajax({ type: "POST", url:"/manage/admin/addOrUpdate", data:{

使用httpclient提交資料加號+會被自動替換成空格的坑

坑的場景:        今天使用httpclient-4.5.3版本,傳送如下報文: { "idNo": "7+6+0+2ce722a546b39463bd62817fe57f8" }      

使用SpringMVC 實現RESTful,並解決PUT,DELETE請求無法提交資料的問題

瞭解RESTful,使用SpringMVC 實現RESTful 關於REST: 1.表述性狀態轉移,是web服務的一種架構風格,是一種思想,而非標準或軟體。 2. 通常基於使用HTTP,URI,XML、JSON、HTML這些現廣泛流行的協議。 3.屬於輕量級(使

提交資料或阻止資料提交(使用者輸入的資料不合法)

提交表單資料 單擊submit按鈕按鈕 表單元素使用From物件的submit()方法; (記住form裡面的表單元素有一個form屬性,它指向它所在的form元素, 也就是說在在表單元素的onclick事件裡用this.form.submit(); 即可提交

ajax原生JavaScript非同步提交資料

採用ajax非同步方式,通過js獲取form中所有input、select等元件的值,將這些值組成Json格式,通過非同步的方式與伺服器端進行互動, 一般將表單資料傳送給伺服器端,伺服器端處理資料並返

Spring Boot(三):RestTemplate提交資料的三種方法

在REST介面的設計中,利用RestTemplate進行介面測試是種常見的方法,但在使用過程中,由於其方法引數眾多,很多同學又混淆了表單提交與Payload提交方式的差別,而且介面設計與傳統的瀏覽器使用的提交方式又有差異,經常出現各種各樣的錯誤,如405錯誤,或

使用標籤提交資料的問題以及獲取session作為函式的引數呼叫的問題

我在做動態網頁時遇到以下幾個問題,花了我好多時間才解決的。所以我要將它記錄下面,為我以後再次遇到問題作參考。若是大家覺得哪裡不對的,歡迎大家留言 1.不是表單一般是使用<input type="submit">提交按鈕,點選後就可以將表單中的資料提交了嗎?但是我

Ajax提交資料

ajax的基本語法 $.ajax({ type: "post", //資料提交方式(post/get) url: "demo.php", //提交到的url data: {"key1":"value1","key2":"valu

Spring: RestTemplate提交資料的三種方法

1. 用exchange方法提交 exchange既可以執行POST方法,還可以執行GET,所以應用最為廣泛,使用方法如下: String url = "http://localhost/mirana-ee/app/login"; RestTemplate client = new RestTe

Angular 開發小妙招1:提交資料驗證不通過,更改輸入元件的樣式

開發表單時,客戶端資料完整性校驗是必不可少的,在jquery 時代出現了無數的資料驗證外掛也很好用,開發Angular 應用時,angular 內建了一些常用的資料驗證指令。今天要講的不是這些指令如何使用,今天講什麼呢,今天講一些關於驗證樣式的問題,相關的基礎知識在angular.cn 官方文件中都有介紹,在

利用jquery.form.js的ajaxSubmit實現不跳轉提交資料

我們直接通過form提交的話, 提交後當前頁面跳轉到form的action所指向的頁面。然而,很多時候我們比不希望提交表單後頁面跳轉,那麼,我們就可以使用ajaxSubmit(obj)來提交資料 1. //form表單阻止提交 <form onsubm

提交資料,在IE及其它瀏覽器中亂碼的解決方案

如在IE下提交表單資料亂碼:        解決方案: 在form表單中新增    onsubmit="document.charset='GBK';"       【注編碼根據各自環境條件指定】 如在其它瀏覽器下提交表單資料亂碼:            acce

Vue中提交資料

這種方式可以提交,那麼問題來了,表單提交以後如果需要獲取伺服器的響應呢,如果需要在響應成功後跳轉頁面呢,這種方式顯得不好處理. 切回正題,在vue中這種簡單的表單提交如何處理呢,其實使用的是 FormData 來模擬表單提交 ?

不同瀏覽器回車提交處理辦法(轉載)

在IE和Firefox下1、<form>屬性的“action”欄位必填;2、有一個type="submit"的“input”。 在Chrome和Safari下 滿足第一條即可。(註釋1)  如果要控制提交行為的話(比如,提交前檢查必填項是否已填),可以在type=

Ajax SpringMVC 提交資料

Ajax 的寫法 function saveSplash() { var titleVal = $("#title").val(); var subTitleVal = $("#subTitle").val(); if (titleVal == null ||

AJax提交資料到後臺springmvc接收

第一種方法直接用serialize()方法function insert(){ $.ajax({ type:"POST", url:"$

使用formData給後臺提交資料

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <html> <head> <meta http-equiv="content-type