摘要:提交数据过滤的基本原则提交变量进数据库时,我们必须使用进行过滤,像我们的注入问题,一个也就搞定了。其实在涉及到变量取值时,函数对字符串的过滤也是个不错的选择。对于进出数据库的数据可以起到格式话的作用。简单的数据过滤入库出库显示
1、php提交数据过滤的基本原则
1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。
2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。
4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"<"就将转化为 "<"这样无害的字符。
$new = htmlspecialchars("Test", ENT_QUOTES);
strip_tags($text,);
5)对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想这样也就无懈可击了。
2、PHP简单的数据过滤
1)入库: trim($str),addslashes($str)
2)出库: stripslashes($str)
3)显示: htmlspecialchars(nl2br($str))
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/20692.html
摘要:过滤验证和转义不要相信任何来自不受自己直接控制的数据源中的数据。加密和哈希不是一回事,加密是双向算法,加密的数据可以被解密。使用密码哈希简化计算密码哈希和验证密码的操作。密码的哈希值存储在类型的数据库列中。 过滤、验证和转义 1).不要相信任何来自不受自己直接控制的数据源中的数据。包括但不限于: $_GET $_POST $_REQUEST $_COOKIE $argv php://...
摘要:由于越来越多的项目开始使用框架,所以,很多的程序员也不在关心安全的问题因为框架已经帮我们几乎完美的处理了但是,个人认为,我们还是需要了解一下常用的安全处理函数原因简单很多小的功能和项目是用不到框架的,我们需要自己解决安全问题常用的安全函数有 由于越来越多的项目开始使用框架,所以,很多的程序员也不在关心安全的问题!因为框架已经帮我们几乎完美的处理了!但是,个人认为,我们还是需要了解一下常...
阅读 769·2021-11-23 09:51
阅读 835·2021-11-23 09:51
阅读 2503·2021-11-15 18:01
阅读 3862·2021-10-11 11:07
阅读 2396·2021-09-22 15:30
阅读 1075·2021-09-22 14:59
阅读 1557·2019-08-30 15:55
阅读 1753·2019-08-30 15:52