2. 程式人生 > >PHP學習練手(十五)

PHP學習練手(十五)

阿新 發佈:2018-12-25

阻止垃圾郵件

一、垃圾郵件的預防技術

  1. 使用正則表示式或過濾器擴充套件驗證任何電子郵件地址

  2. 在表單值中監視這些字元。如果值中包含該列表中的任何內容,就不要使用那個值。
    這裡寫圖片描述

    2.1 程式碼:
    email2.php

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Contact Me</title>
</head>
<body>
    <h1>Contact Me</h1
 
>
    <?php

        if($_SERVER['REQUEST_METHOD'] == 'POST')
        {

            //函式功能是實現字元過濾
            function spam_scrubber($value)
            {
                $very_bad = array('to', 'cc:', 'content-type:', 'mime-version:','multipart-mixed:','content-transfer-encoding');

                //判斷$value中是否存在$very_bad中包含的各種變數
 

                foreach($very_bad as $v)
                {
                    if(stripos($value, $v) != false)
                    {
                        return '';
                    }
                }

                //字串替換
                $value = str_replace(array("\r", "\n", "%0a", "%0d" ), ''
 
, $value);

                //過濾空格
                return trim($value);
            }

            //將函式作用到陣列的每個值上
            $scrubbed = array_map('spam_scrubber', $_POST);

            if(!empty($scrubbed['name']) && !($scrubbed['email']) && !empty($scrubbed['comments']))
            {
                $body = "Name: {$scrubbed['name']}\n\nComments: {$scrubbed['comments']}";

                //字元截斷
                $body = Wordwrap($body, 70);

                mail('[email protected]', 'Contact From Submission', $body, "From:{$_POST['email']}");

                echo '<p><em>Thank you for contacting me. I will reply some day.</em></p>';

                $_POST =array() ;	//將$_POST清空
            }else{
                echo '<p style="font-weight: bold; color: #C00"></p>';
            }
        }
    ?>
    <p>Please fill out this form to contact me.</p>
    <form action="email.php" method="post">
        <p>Name: <input type="text" name="name" size="30" maxlength="60" value="<?php if(isset($_POST['name'])) echo $_POST['name']; ?>" /></p>
        <p>Email Address: <input type="text" name="name" size="30" maxlength="80" value="<?php if(isset($_POST['email'])) echo $_POST['email']; ?>" /></p>
        <p>Comments: <textarea name="comments" rows="5" cols="30"><?php if(isset($_POST['comments'])) echo $_POST['comments']; ?></textarea></p>
        <p><input type="submit" name="submit" value="Send!" /></p>
    </form>
</body>
</html>

2.2 函式解析:

stripos():函式查詢字串在另一字串中第一次出現的位置(不區分大小寫)。

str_replace():函式以其他字元替換字串中的一些字元(區分大小寫)。

array_map():將函式作用到陣列中的每個值上,每個值都乘以本身,並返回帶有新值的陣列。

2.3程式碼解析:

$very_bad = array('to', 'cc:', 'content-type:', 'mime-version:','multipart-mixed:','content-transfer-encoding');

                //判斷$value中是否存在$very_bad中包含的各種變數
                foreach($very_bad as $v)
                {
                    if(stripos($value, $v) != false)
                    {
                        return '';
                    }
                }

解釋: $very_bad 儲存了所有可能的不合法聯絡人字元。foreach迴圈一次將訪問$very_bad 中的一個數據項,stripos()函式將檢查作為$value 提供給該函式的資料項是否存在字串中。一旦發現“危險”字串,函式將返回一個空字串並終止執行。

2.4 程式碼執行:
這裡寫圖片描述
注:由於提交的Email Address中出現了不合法字元,因此,該郵件不會被髮送。

通過型別驗證資料

一、2種驗證方法:
- 白名單:設定能通過的使用者,白名單以外的使用者都不能通過
- 黑名單:設定不能通過的使用者,黑名單以外的使用者都能通過。

1.1 程式碼:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Widget</title>
</head>
<body>
    <?php # Script 13.2 - calculator.php
        if($_SERVER['REQUEST_METHOD']=='POST')
        {
            $quantity = (int) $_POST['quantity'];
            $price = (float) $_POST['price'];
            $tax = (float) $_POST['tax'];

            if(($quantity > 0) && ($price > 0) && ($tax > 0))
            {
                $total = $quantity * $price;
                $total += $total * ($tax/100);

                echo '<p>The cost of purchasing '.$quantity.' widget(s) at $'.number_format($price, 2).'each, plus tax, is $'.number_format($total, 2).'</p>';
            }else{
                echo '<p style = "font-weight: bold; color: #C00">Please enter a valid quantity, price, and tax rate.</p>';
            }
        }


    ?>
    <h1>Widget Cost Calculator</h1>
    <form action="calculator.php" method="post">
        <p>Quantity: <input type="text" name="quantity" size="5" maxlength="10" value="<?php if(isset($quantity)) echo $quantity; ?>" /></p>
        <p>Price: <input type="text" name="price" size="5" maxlength="10" value="<?php if(isset($price)) echo $price; ?>" /></p>
        <p>Tax: <input type="text" name="tax" size="5" maxlength="10" value="<?php if(isset($tax)) echo $tax; ?>" /></p>
        <p><input type="submit" name="submit" value="Calculate" /></p>
    </form>
</body>
</html>

1.2 程式碼解釋:

$quantity = (int) $_POST['quantity'];
            $price = (float) $_POST['price'];
            $tax = (float) $_POST['tax'];

解釋:通過強制轉換變數型別,驗證資料的正確格式

1.3 程式碼執行:
這裡寫圖片描述

這裡寫圖片描述

這裡寫圖片描述

這裡寫圖片描述

按型別驗證檔案

1、$_FILES['upload']['type'] 是指上傳瀏覽器提供的MIME型別。但是惡意使用者很容易通過提供虛假的MIME型別誘騙瀏覽器

2、Fileinfo是在伺服器端進行內容型別的檢驗。Fileinof通過獲取檔案的“魔法位元組”或“魔法數字”來判斷檔案的型別(和編碼),例如,構成GIF圖片的資料必須以ASCII碼GIF89a或GIF87a開頭,構成PDF檔案的資料必須以%PDF開頭。

3、如何使用Fileinfo:

  • 要使用Fileinfo,首先建立Fileinfo資源: $fileinfo = finfo_open(kind) kind值是個常量,指定建立的資源型別,判斷檔案型別的常量是FILEINFO_MIME_TYPE,即$file = finfo_open(FILEINFO_MYIME_TYPE)

  • 接下來,呼叫finfo_file()函式,提供Fileinfo資源和要檢查的檔案的引用finfo_file($fileinfo, $filename) 此函式基於檔案的實際“魔法位元組”,返回檔案的MIME型別(已經建立的資源)

  • 完成後,應關閉Fileinfo的資源finfo_close($fileindo)

4、程式碼upload_rtf.php

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Upload a  RTF Document</title>
</head>
<body>
    <?php # Script 13.3 - upload_rtf.php
        if($_SERVER['REQUEST_METHOD'] == 'POST')
        {

            if(isset($_FILES['upload']) && file_exists($_FILES['upload']['tmp_name']))
            {
                //建立fileinfo資源
                $fileinfo = finfo_open(FILEINFO_MIME_TYPE);
                //伺服器端檢查檔案型別
                if(finfo_file($fileinfo, $_FILES['upload']['tmp_name']) == 'text/rtf')
                {
                    echo '<p><em>The file would be acceptable</em></p>';
                    //刪除臨時檔案
                    unlink($_FILE['upload']['tmp_name']);
                }else{
                    echo '<p style = "font-weight: bold; color: #C00">Please upload an RTF document.</p>';
                }
                //關閉Fileinfo資源
                finfo_close($fileinfo);
            }
        }
    ?>
    <form enctype="multipart/form-data" action="upload_rtf.php" method = "post">
        <input type="hidden" name="MAX_FILE_SIZE" value="524288" />
        <fieldset>
            <legend>Select an RTF document of 512KB or smaller to be uploaded</legend>
            <p><b>File:</b> <input type="file" name="upload"/></p>
            <div align="center"><input type="submit" name="submit" value="Submit"></div>
        </fieldset>

    </form>
</body>
</html>

這裡寫圖片描述

這裡寫圖片描述

阻止XSS攻擊

1、XSS(跨站指令碼)攻擊——

許多動態驅動的web應用程式會獲取使用者提交的資訊,將其儲存在資料庫中,然後在另一個頁面上重新顯示該資訊。當用戶在資料中輸入HTML程式碼,這種程式碼就可能拋棄站點的佈局和美感。更糟糕的是,JS也只是純文字,但它是Web瀏覽器內可執行的指令碼,可能會造成彈窗,竊取cookie或者把瀏覽器重定向到其他站點,稱之為XSS攻擊。

2、程式碼:
xss.php

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>XSS Attacks</title>
</head>
<body>
    <?php # Script 13.4 - xss.php
        if($_SERVER['REQUEST_METHOD'] == 'POST')
        {
            echo "<h2>Original</h2><p>{$_POST['data']}</p>";
            echo '<h2>After htmlspecialchars() </h2><p>'.htmlspecialchars($_POST['data']).'</p>';
            echo '<h2>After htmlentities() </h2><p>'.htmlentities($_POST['data']).'</p>';
            echo "<h2>After strip_tags() </h2><p>".strip_tags($_POST['data'])."</p>";
        }
    ?>
    <form action="xss.php" method="post">
        <p>Do your worst!<textarea name="data" cols="40" rows="4"></textarea><div><input type="submit" name="submit" value="Submit" /></div>
        </p>
    </form>
</body>
</html>

3、函式解析:

  • htmlspecialchars():把預定義的字元轉換為 HTML 實體

  • htmlentities():把字元轉換為 HTML 實體

  • strip_tags():去掉字串中的 HTML 標籤

  • 這3個函式以從破壞性最小到最大的順序列出。

4、程式碼執行:
這裡寫圖片描述

這裡寫圖片描述

使用過濾器擴充套件

1、過濾器擴充套件的目的——驗證資料或清理資料

2、使用函式filter_var(variable, filter[,options])

3、過濾器選擇
這裡寫圖片描述

4、程式碼:
calculator2.php

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Widget</title>
</head>
<body>
    <?php # Script 13.2 - calculator.php
        if($_SERVER['REQUEST_METHOD']=='POST')
        {
            //$quantity = (int) $_POST['quantity'];
            //$price = (float) $_POST['price'];
            //$tax = (float) $_POST['tax'];

            //如果是整數則儲存,否則為null
            $quantity = (isset($_POST['quantity'])) ? filter_var($_POST['quantity'], FILTER_VALIDATE_INT, array('min_range'=>1)) : NULL;
            //如果是浮點數,則儲存,否則為null
            $price = (isset($_POST['price'])) ? filter_var($_POST['price'], FILTER_SANITIZE_NUMBER_FLOAT, FILTER_FLAG_ALLOW_FRACTION) : NULL;
            $tax = (isset($_POST['tax'])) ? filter_var($_POST['tax'], FILTER_SANITIZE_NUMBER_FLOAT, FILTER_FLAG_ALLOW_FRACTION) : NULL;

            if(($quantity > 0) && ($price > 0) && ($tax > 
                0))
            {
                $total = $quantity * $price;
                $total += $total * ($tax/100);

                echo '<p>The cost of purchasing '.$quantity.' widget(s) at $'.number_format($price, 2).'each, plus tax, is $'.number_format($total, 2).'</p>';
            }else{
                echo '<p style = "font-weight: bold; color: #C00">Please enter a valid quantity, price, and tax rate.</p>';
            }
        }


    ?>
    <h1>Widget Cost Calculator</h1>
    <form action="calculator2.php" method="post">
        <p>Quantity: <input type="text" name="quantity" size="5" maxlength="10" value="<?php if(isset($quantity)) echo $quantity; ?>" /></p>
        <p>Price: <input type="text" name="price" size="5" maxlength="10" value="<?php if(isset($price)) echo $price; ?>" /></p>
        <p>Tax: <input type="text" name="tax" size="5" maxlength="10" value="<?php if(isset($tax)) echo $tax; ?>" /></p>
        <p><input type="submit" name="submit" value="Calculate" /></p>
    </form>
</body>
</html>

5、程式碼執行
這裡寫圖片描述

這裡寫圖片描述

這裡寫圖片描述

預防SQL注入攻擊

1、SQL注入攻擊——是指企圖把不良程式碼插入到站點SQL查詢中。這類攻擊的目標之一是,它們將建立一個語法上無效的查詢,從而再得到的出錯訊息中呈現關於指令碼或資料庫的某些訊息。而注入攻擊更大的目的是改變、破壞或暴露儲存的資料。

2、預處理語句的效能
預處理語句比老式的查詢方式更安全,而且可能也會更快。如果一個PHP指令碼多次傳送相同的PHP查詢到MySQL,每次使用不同的值,預處理可以加快速度。在這種情況下,只會把查詢本身傳送給MySQL,並且只會解析一次。然後,單獨把值傳送給MySQL。

3、如果不使用預處理語句,整個查詢(包括SQL語法和具體的值)都會作為一個長字串傳送到MySQL。然後MySQL分析並執行它。使用預處理查詢,SQL語法首先被髮送到MySQL解析,確保它在語法上是有效的,然後單獨傳送特定的值,MySQL使用這些值組合查詢,然後執行它。

4、預處理的優點:它可以帶來更高的安全性、並且可能提供更好的工作的效能。

5、程式碼:
post_message.php

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Post a message</title>
</head>
<body>
    <?php # Script 13.6 - post_message.php
        if($_SERVER['REQUEST_METHOD'] == 'POST')
        {
            $mysqli = mysqli_connect('localhost', 'root', '1111', 'forum');

            $sql = "INSERT INTO messages(forum_id, parent_id, user_id, subject, body, date_entered) VALUES (?,?,?,?,?, NOW())";
            $stmt = mysqli_prepare($mysqli, $sql);
            mysqli_stmt_bind_param($stmt, 'iiiss', $forum_id, $parent_id, $user_id, $subject, $body);
            $forum_id = (int) $_POST['forum_id'];
            $parent_id = (int) $_POST['parent_id'];
            $user_id = 3;
            $subject = strip_tags($_POST['subject']);
            $body = strip_tags($_POST['body']);
            mysqli_stmt_execute($stmt);

            if(mysqli_stmt_affected_rows($stmt) == 1){
                echo '<p>Your messages has been posted.</p>';
            }else{
                echo '<p style="font-weight: bold; color: #C00">Your message could not be posted.</p>';
                echo '<p>'.mysqli_stmt_error($stmt).'</p>';
            }

            mysqli_stmt_close($stmt);
            mysqli_close($mysqli);
        }
    ?>
    <form action="post_message.php" method="post">
        <fieldset>
            <legend>Post a message</legend>
            <p><b>Subject</b>: <input type="text" name="subject" size="30" maxlength="100" /></p>
            <p><b>Body</b>: <textarea name="body" cols="40" rows="4"></textarea></p>
            <div align="center"><input type="submit" name="submit" value="Submit"></div>
        </fieldset>
        <input type="hidden" name="forum_id" value="1" />
        <input type="hidden" name="parent_id" value="0" />
    </form>
</body>
</html>

6、程式碼解析:

  • $sql = "INSERT INTO messages(forum_id, parent_id, user_id, subject, body, date_entered) VALUES (?,?,?,?,?, NOW())"; //預處理sql語句

  • $stmt = mysqli_prepare($mysqli, $sql); //將結果寫入到對應的資料庫變數中

  • mysqli_stmt_bind_param($stmt, 'iiiss', $forum_id, $parent_id, $user_id, $subject, $body); //繫結對應的引數,‘iiiss’表示第1,2, 3是整數 第4,5是字串等型別

  • mysqli_stmt_execute($stmt);//執行預處理語句

  • mysqli_stmt_close($stmt);//關閉預處理資源

7、程式碼執行
這裡寫圖片描述

這裡寫圖片描述

相關推薦

PHP學習

阻止垃圾郵件 一、垃圾郵件的預防技術 使用正則表示式或過濾器擴充套件驗證任何電子郵件地址 在表單值中監視這些字元。如果值中包含該列表中的任何內容,就不要使用那個值。 2.1 程式碼: email2.php <!DOCTYPE

PHP學習

SESSION會話 會話(session): 會話假定資料儲存在伺服器上,而不是瀏覽器中,會話識別符號用於定位特定使用者的記錄(會話資料)。這個會話識別符號通常通過cookie儲存在使用者的瀏覽器中,但是,敏感資料本身(如使用者ID,姓名等

PHP學習

Perl相容的正則表示式 一、函式: preg_match():指示模式是否與字串匹配,一旦找到一個匹配返回1,否則返回0 preg_match_all():找到所有的匹配

PHP學習

傳送電子郵件 函式: 1、傳送郵件函式: (subject中不能包含換行符;正文中每一行的長度都不能超過70,故用wordwrap函式進行隔斷) mail(to, subject, body, [headers]) 2、字串隔斷函式 wo

PHP學習

給指令碼傳值 1、方法一:利用HTML的隱藏輸入框型別 <input type="hidden" name="do" value="this" /> 在提交form表單時,$_POST[‘do’]將具有this這個值(假定表單使用POS

PHP學習

<?php # Script 9.3 - register.php $page_title = 'Register'; include ('../include/header.html'); //檢查提交狀態 if($_SERVER['REQUEST_METHOD']

PHP學習十三

COOKIE 特性: cookie將資料儲存在使用者的瀏覽器中。 流程: 程式碼: 1.login_page.inc.php <?php #Script 12.1 - login.inc.php $page_ti

PHP學習

執行事務 資料庫事務: 是在單個會話期間執行的一系列查詢。例如,你可能插入一條記錄到一張表中,插入另一條記錄到另一個表中,或許還會執行更新。如果不使用事務,每個獨立的查詢就會立即生效,並且不能撤銷。使用事務,就可以設定起點和終點,然後根據需

PHP學習

1、建立一維陣列 方式一:一次新增一個元素構建陣列 $band[] = ‘Jemi’; $band[] = 'Bret'; 方式二:新增元素時指定鍵 $fruits['apple'] = 3;

PHP學習

內聯結 定義:內聯結從指定的表中返回匹配項。 舉例: 匹配項:m.forum_id=f.forum_id 等值聯結:上述匹配項也稱為等值聯結,可以將ON 匹配條件 換成 USIN

Hive學習之路 Hive分析窗口函數(三) CUME_DIST和PERCENT_RANK

select rank com ble class mina src format () 這兩個序列分析函數不是很常用,這裏也練習一下。 數據準備 數據格式 cookie3.txt d1,user1,1000 d1,user2,2000 d1,user3,

Spark學習之路 SparkCore的源碼解讀啟動腳本

-o 啟動服務 binary dirname ppi std 參數 exp 情況 一、啟動腳本分析 獨立部署模式下,主要由master和slaves組成,master可以利用zk實現高可用性,其driver,work,app等信息可以持久化到zk上;slaves由一臺至多

Python小白學習之路—【map()函式】【filter()函式】【reduce()函式】

一、map()函式 map()是 Python 內建的高階函式 有兩個引數,第一個是接收一個函式 f(匿名函式或者自定義函式都OK啦);第二個引數是一個 可迭代物件 功能是通過把函式 f 依次作用在 第二個引數 的每個元素上,得到一個新的 list 並返回。(新的 list 元素的個數與位置與舊

python學習筆記:迭代器和生成器

一、迭代器:   1、迭代器是python最強大的功能之一,是訪問集合元素的一種方式。   2、迭代器是一個可以記住遍歷的位置的物件。   3、迭代器物件從集合的第一個元素開始訪問,直到所有的元素被訪問結束。迭代器只能往前不能後退。   4、迭代器的兩個基本方法:iter()和next()   5、

sshBatchDao.java

package com.chenjia.batchsys.dao;import com.chenjia.batchsys.domain.Batch;import com.chenjia.common.d

unity官方demo學習之Stealth單開門動畫

1,將modles中的door_generic_slide拖入層級檢視,位置:-6,0,7;角度:90.子物件勾選 use light probes使光可以照到門 2,父物件新增Sphere collider使門可以檢測到敵人或玩家的靠近,center:y:1,radius

學習OpenCV範例——霍夫變換

本次範例通過霍夫變換檢測直線和圓,講解霍夫線變換和霍夫圓變換的原理,程式碼實現,和演示結果,使用霍夫線變換之前, 首先要對影象進行邊緣檢測的處理,也即霍夫線變換的直接輸入只能是邊緣二值影象。而霍夫圓變換則只要輸入灰度影象即可,因為在霍夫圓變換的過程中已經用到了canny邊緣

OpenCV2學習筆記:利用Cmake高速查找OpenCV函數源代碼

one 生成 img log 分享 lan 學習筆記 全部 modules 在使用OpenCV時,在對一個函數的調用不是非常了解的情況下,通常希望查到該函數的官方聲明。而假設想進一步研究OpenCV的函數,則必須深入到源碼。在VS中我們能夠選中想要查

從零開始學習htmlcss樣式設置小技巧——下

right ron pos 瀏覽器 spl pan esc 插入 ccf 六、垂直居中-父元素高度確定的單行文本 1 <!DOCTYPE HTML> 2 <html> 3 <head> 4 <meta charset="

python學習 屏幕抓取

處理 網上 rss 解析 是個 創建 網絡服務器 區別 內容 15.1 屏幕抓取   15.1.1 Tidy和XHTML解析    Tidy:用來修復不規範且隨意的HTML文檔的工具。    為什麽用XHTML: 和舊版本的HTML之間最主要的區別:HTML可能只用一個開始