1. 程式人生 > >PHP安全過濾函式

PHP安全過濾函式

在PHP中,有些很有用的函式開源非常方便的防止你的網站遭受各種攻擊,例如SQL注入攻擊,XSS(Cross Site Scripting:跨站指令碼)攻擊等。

1. mysql_real_escape_string()

這個函式在PHP中防止SQL注入攻擊時非常有用。這個函式會對一些例如單引號、雙引號、反斜槓等特殊字元新增一個反斜槓以確保在查詢這些資料之前,使用者提供的輸入是乾淨的。但要注意,你是在連線資料庫的前提下使用這個函式。

但是現在已經不推薦使用mysql_real_escape_string()了,所有新的應用應該使用像PDO一樣的函式庫執行資料庫操作,也就是說,我們可以使用現成的語句防止SQL注入攻擊。

2. addslashes()

這個函式的原理跟mysql_real_escape_string()相似。但是當在php.ini檔案中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函式。magic_quotes_gpc 的預設值是on,對所有的 GET、POST 和 COOKIE 資料自動執行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串使用 addslashes(),因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函式來確定它是否開啟。

3. htmlentities()

這個函式對於過濾使用者輸入的資料非常有用。它會將一些特殊字元轉換為HTML實體。例如,使用者輸入<時,就會被該函式轉化為HTML實體<(&lt),輸入>就被轉為實體&gt.(HTML實體對照表:

http://www.w3school.com.cn/html/html_entities.asp),可以防止XSS和SQL注入攻擊。

4. htmlspecialchars()

在HTML中,一些特定字元有特殊的含義,如果要保持字元原來的含義,就應該轉換為HTML實體。這個函式會返回轉換後的字串,例如‘&’ (ampersand) 轉為’&amp‘(ps:請參照第三點中的實體對照表連結)

附上此函式常見的轉換字元:

The translations performed are:

‘&’ (ampersand) becomes ‘&amp;’
‘”‘ (double quote) becomes ‘&quot;’ when
ENT_NOQUOTES is not set. “‘” (single quote) becomes ‘&#039;’ (or &apos;) only when ENT_QUOTES is set. ‘<’ (less than) becomes ‘&lt;’ ‘>’ (greater than) becomes ‘&gt;’

5. strip_tags()

這個函式可以去除字串中所有的HTML,JavaScript和PHP標籤,當然你也可以通過設定該函式的第二個引數,讓一些特定的標籤出現。

6. md5()

從安全的角度來說,一些開發者在資料庫中儲存簡單的密碼的行為並不值得推薦。md5()函式可以產生給定字串的32個字元的md5雜湊,而且這個過程不可逆,即你不能從md5()的結果得到原始字串。

現在這個函式並不被認為是安全的,因為開源的資料庫可以反向檢查一個雜湊值的明文。你可以在這裡找到一個MD5雜湊資料庫列表

7. sha1()

這個函式與md5()類似,但是它使用了不同的演算法來產生40個字元的SHA-1雜湊(md5產生的是32個字元的雜湊)。也不要把絕對安全寄託在這個函式上,否則會有意想不到的結果。

8. intval()

intval()函式是將變數轉成整數型別,你可以用這個函式讓你的PHP程式碼更安全,特別是當你在解析id,年齡這樣的資料時。

相關推薦

PHP安全過濾函式

在PHP中,有些很有用的函式開源非常方便的防止你的網站遭受各種攻擊,例如SQL注入攻擊,XSS(Cross Site Scripting:跨站指令碼)攻擊等。 1. mysql_real_escape_string() 這個函式在PHP中防止SQL注入攻擊時非常有用。

php實際開發中可以用到的安全過濾函式

1stripslashes() 函式      stripslashes()主要功能是刪除反斜槓 <?php echo stripslashes("Who\'s Bill Gates?"); ?> 輸出結果: Who's Bill Gates? 2htm

PHP安全過濾使用者輸入

/** * 安全過濾函式 */ function public_safe_replace($string) { $string = str_replace('%20','',$string); $

php安全過濾

安全的過濾函式:function filter($input){ $input=strip_tags(trim($input)); $input=htmlentities($input,

php安全 過濾、驗證、轉義

不要相信外部源 $_GET $_POST $_REQUEST $_COOKIE $argv php://stdin php://input 遠端資料庫 遠端api 來自客戶端的資料 1 <?php 2 $input = '<p><script>alert("You w

PHP字串過濾需要的函式安全MYSQL

htmlspecialchars 將特殊字元轉成 HTML 格式。 語法: string htmlspecialchars(string string); 返回值: 字串 函式種類: 資料處理 內容說明 本函式將特殊字元轉成 HTML 的字串格式 (

PHP安全處理,過濾函式

在PHP中,有些很有用的函式開源非常方便的防止你的網站遭受各種攻擊,例如SQL注入攻擊,XSS(Cross Site Scripting:跨站指令碼)攻擊等. 1.mysql_real_escape_string() 這個函式在PHP中防止SQL注入攻擊時非常有用。這個函式

PHP中is_numeric函式十六進位制繞過BUG 容易引發安全問題

0×00 簡介 國內一部分CMS程式裡面有用到過is_numberic函式,我們先看看這個函式的結構 bool is_numeric ( mixed $var ) 如果 var 是數字和數字字串則返回 TRUE,否則返回 FALSE。 0×01 函式是否安全 接下來我們

PHP的strcmp函式引發的安全問題

在官方的文件有這麼一端說明: Note a difference between 5.2and5.3 versions echo (int)strcmp('pending',array()); will output -1in PHP 5.2.16(probably i

Filter php自帶過濾函式

PHP Filter 簡介 PHP 過濾器用於對來自非安全來源的資料(比如使用者輸入)進行驗證和過濾。 是一個很有用的方法,但是自己用的很少.所以專門記錄下.以後可以用 基本知識 INPUT_xxx  : 這種表示的是你要校驗的引數是從哪裡獲得的.比如INPUT_G

php安全函式

phpinfo()功能描述:輸出 PHP 環境資訊以及相關的模組、WEB 環境等資訊。危險等級:中passthru()功能描述:允許執行一個外部程式並回顯輸出,類似於 exec()。危險等級:高exec()功能描述:允許執行一個外部程式(如 UNIX Shell 或 CMD

通用的PHP防注入漏洞攻擊的過濾函式程式碼

<?PHP  //PHP整站防注入程式,需要在公共檔案中require_once本檔案 //判斷magic_quotes_gpc狀態 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = se

8個常用的PHP安全函式

安全是程式設計非常重要的一個方面。在任何一種程式語言中,都提供了許多的函式或者模組來確保程式的安全性。在現代網站應用中,經常要獲取來自世界各地使用者的輸入,但是,我們都知道“永遠不能相信那些使用者輸入的資料”。所以在各種的Web開發語言中,都會提供保證使用者輸入

比較好用的PHP防注入漏洞過濾函式程式碼

<?php //PHP整站防注入程式,需要在公共檔案中require_once本檔案 //判斷magic_quotes_gpc狀態 if (@get_magic_quotes_gpc()) { $_GET = sec($_GET); $_POST =

PHP反序列化中過濾函式使用不當導致的物件注入

1.漏洞產生的原因 ####  正常的反序列化語句是這樣的 $a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"password";s:6:"abcdef";}'; 但是如果寫成這樣 $b='a:2:{s:8:"username";s:7:"dimpl3s";s:8

變量安全過濾,防止xss攻擊

轉義 javascrip dai post ash time return 空格 去除 下面這個方法不管是字符串還是數組,都可以進行過濾 /** * @purpose : 對變量進行安全過濾,使 $_GET、$_POST、$q->record 等變量更安全

Windows下PHP安全環境的搭建

版本 right AC info 所有 lock 六月 .com ash 筆者一直在Windows環境下搭建PHP的運行環境,大大小小的運行環境用過不少,從開始的WAMP到後來的XAMPP以及PHPnow。WAMP和XAMPP都是繼承mysql apache以及PHP庫的運

php安全入門

cookies 又是 use 輸入 only .net csr 文件的 預編譯 參考網址: https://www.cnblogs.com/luyucheng/p/6234524.html https://blog.csdn.net/luyaran/article/deta

PHP 分頁函式

前端呼叫 <tr><td colspan="5" align="right">{$pagebar1}</td></tr> index.php $page = $_REQUEST['page'] == '' ?

PHP的strtotime()函式轉換的時間戳和實際時間不一致解決方案

做一個時間區間搜尋的功能時,遇到一個問題,使用strtotime()轉換時間去比較時,發現搜尋不到,前端傳遞的是   但是PHP轉換後時間戳為1540732715,相當於   與實際時間相差8小時,所以搜尋不到的原因就在此。解決問題很簡單。 修改P