讲师中心 微信公众号
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 人工智能 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 人工智能 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 AI 提示词
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机游戏
最近更新
当前位置:首页 > 后端开发 > php教程 >

正文

0

0

php简单的参数过滤代码学习

php中文网

php中文网

发布时间:2016-07-25 08:58:42

|

1350人浏览过

|

来源于php中文网

原创

  3. /**
  4. * 参数过滤代码
  5. * edit bbs.it-home.org
  6. */
  7. if (@get_magic_quotes_gpc ()) {
  8. $_GET = sec ( $_GET );
  9. $_POST = sec ( $_POST );
  10. $_COOKIE = sec ( $_COOKIE );
  11. $_FILES = sec ( $_FILES );
  12. }
  13. $_SERVER = sec ( $_SERVER );
  14. function sec(&$array) {
  15. //如果是数组,遍历数组,递归调用
  16. if (is_array ( $array )) {
  17. foreach ( $array as $k => $v ) {
  18. $array [$k] = sec ( $v );
  19. }
  20. } else if (is_string ( $array )) {
  21. //使用addslashes函数来处理
  22. $array = addslashes ( $array );
  23. } else if (is_numeric ( $array )) {
  24. $array = intval ( $array );
  25. }
  26. return $array;
  27. }
  28. ?>
复制代码

1、整型参数的判断 当输入的参数YY为整型时,通常abc.asp中SQL语句原貌大致如下: select * from 表名 where 字段=YY,所以可以用以下步骤测试SQL注入是否存在。 ①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一个单引号),此时abc.ASP中的SQL语句变成了 select * from 表名 where 字段=YY’,abc.asp运行异常; ②HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp运行正常,而且与HTTP://xxx.xxx.xxx/abc.asp?p=YY运行结果相同; ③HTTP://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp运行异常; 如果以上三步全面满足,abc.asp中一定存在SQL注入漏洞。

一个整型过滤函数,代码如下:

  4. function num_check($id) {
  5. if (! $id) {
  6. die ( '参数不能为空!' );
  7. } //是否为空的判断
  8. else if (inject_check ( $id )) {
  9. die ( '非法参数' );
  10. } //注入判断
  11. else if (! is_numetic ( $id )) {
  12. die ( '非法参数' );
  13. }
  14. //数字判断
  15. $id = intval ( $id );
  16. //整型化
  17. return $id;
  18. }

  19. //字符过滤函数

    智能网站优化SiteSEO1.52
    智能网站优化SiteSEO1.52

    系统易学易懂,用户只需会上网、不需学习编程及任何语言,只要使用该系统平台,只要会打字,即可在线直接完成建站所有工作。本程序适合不懂php环境配置的新手用来在本机调试智能SiteSEO网站优化软件,安装过程极其简单。您的网站地址:http://localhost您的网站后台:登录地址: http://localhost/admin.php密 码: admin服务器套件所包含的软件:nginx-0.7

    下载
  20. function str_check($str) {
  21. if (inject_check ( $str )) {
  22. die ( '非法参数' );
  23. }
  24. //注入判断
  25. $str = htmlspecialchars ( $str );
  26. //转换html
  27. return $str;
  28. }
  29. function search_check($str) {
  30. $str = str_replace ( "_", "_", $str );
  31. //把"_"过滤掉
  32. $str = str_replace ( "%", "%", $str );
  33. //把"%"过滤掉
  34. $str = htmlspecialchars ( $str );
  35. //转换html
  36. return $str;
  37. }
  38. //表单过滤函数
  39. function post_check($str, $min, $max) {
  40. if (isset ( $min ) && strlen ( $str )
  41. die ( '最少$min字节' );
  42. } else if (isset ( $max ) && strlen ( $str ) > $max) {
  43. die ( '最多$max字节' );
  44. }
  45. return stripslashes_array ( $str );
  46. }
  47. ?>
复制代码

当输入的参数YY为字符串时,通常abc.asp中SQL语句原貌大致如下: select * from 表名 where 字段='YY',所以可以用以下步骤测试SQL注入是否存在。 ①HTTP://xxx.xxx.xxx/abc.asp?p=YY’(附加一个单引号),此时abc.ASP中的SQL语句变成了 select * from 表名 where 字段=YY’,abc.asp运行异常; ②HTTP://xxx.xxx.xxx/abc.asp?p=YY&;nb … 39;1'='1', abc.asp运行正常,而且与HTTP://xxx.xxx.xxx/abc.asp?p=YY运行结果相同; ③HTTP://xxx.xxx.xxx/abc.asp?p=YY&;nb … 39;1'='2', abc.asp运行异常; 如果以上三步全面满足,abc.asp中一定存在SQL注入漏洞。

附上一个防止sql注入的函数:

  3. //防注入函数
  4. function inject_check($sql_str) {
  5. return eregi ( 'select|inert|update|delete|'|/*|*|../|./|UNION|into|load_file|outfile', $sql_str );
  6. // 进行过滤,防注入 bbs.it-home.org
  7. }
  8. function stripslashes_array(&$array) {
  9. if (is_array ( $array )) {
  10. foreach ( $array as $k => $v ) {
  11. $array [$k] = stripslashes_array ( $v );
  12. }
  13. } else if (is_string ( $array )) {
  14. $array = stripslashes ( $array );
  15. }
  16. return $array;
  17. }
  18. ?>
复制代码


相关文章

php源码怎么卖_php源码售卖平台与版权注意事项

在PHP中使用eval()的安全策略:过滤危险函数

php中命名空间的引入方法

PHP中根据数组元素内容独立控制HTML元素显示教程

PHP中正确获取URL查询参数:$_GET变量的使用指南
PHP速学教程(入门到精通)
PHP速学教程(入门到精通)

PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!

下载

本站声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

上一篇:php抽奖程序(抽取三名幸运观众)的核心代码 下一篇:php 正则表达式的一些方法小结

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发AI 聊天问答
豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发AI大模型
通义千问
通义千问

阿里巴巴推出的全能AI助手

AI 编程开发Agent智能体
腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文档处理AI 聊天问答
文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

AI 编程开发AI 文本写作
讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作
即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

AI 图片处理图片拼接
ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发AI 文本写作
智谱清言 - 免费全能的AI助手
智谱清言 - 免费全能的AI助手

智谱清言 - 免费全能的AI助手

AI 编程开发Agent智能体

相关专题

更多
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

705

2026.02.13

微博网页版主页入口与登录指南_官方网页端快速访问方法
微博网页版主页入口与登录指南_官方网页端快速访问方法

本专题系统整理微博网页版官方入口及网页端登录方式,涵盖首页直达地址、账号登录流程与常见访问问题说明,帮助用户快速找到微博官网主页,实现便捷、安全的网页端登录与内容浏览体验。

233

2026.02.13

Flutter跨平台开发与状态管理实战
Flutter跨平台开发与状态管理实战

本专题围绕Flutter框架展开,系统讲解跨平台UI构建原理与状态管理方案。内容涵盖Widget生命周期、路由管理、Provider与Bloc状态管理模式、网络请求封装及性能优化技巧。通过实战项目演示,帮助开发者构建流畅、可维护的跨平台移动应用。

117

2026.02.13

TypeScript工程化开发与Vite构建优化实践
TypeScript工程化开发与Vite构建优化实践

本专题面向前端开发者,深入讲解 TypeScript 类型系统与大型项目结构设计方法,并结合 Vite 构建工具优化前端工程化流程。内容包括模块化设计、类型声明管理、代码分割、热更新原理以及构建性能调优。通过完整项目示例,帮助开发者提升代码可维护性与开发效率。

22

2026.02.13

Redis高可用架构与分布式缓存实战
Redis高可用架构与分布式缓存实战

本专题围绕 Redis 在高并发系统中的应用展开,系统讲解主从复制、哨兵机制、Cluster 集群模式及数据分片原理。内容涵盖缓存穿透与雪崩解决方案、分布式锁实现、热点数据优化及持久化策略。通过真实业务场景演示,帮助开发者构建高可用、可扩展的分布式缓存系统。

61

2026.02.13

c语言 数据类型
c语言 数据类型

本专题整合了c语言数据类型相关内容,阅读专题下面的文章了解更多详细内容。

30

2026.02.12

雨课堂网页版登录入口与使用指南_官方在线教学平台访问方法
雨课堂网页版登录入口与使用指南_官方在线教学平台访问方法

本专题系统整理雨课堂网页版官方入口及在线登录方式,涵盖账号登录流程、官方直连入口及平台访问方法说明,帮助师生用户快速进入雨课堂在线教学平台,实现便捷、高效的课程学习与教学管理体验。

15

2026.02.12

豆包AI网页版入口与智能创作指南_官方在线写作与图片生成使用方法
豆包AI网页版入口与智能创作指南_官方在线写作与图片生成使用方法

本专题汇总豆包AI官方网页版入口及在线使用方式,涵盖智能写作工具、图片生成体验入口和官网登录方法,帮助用户快速直达豆包AI平台,高效完成文本创作与AI生图任务,实现便捷智能创作体验。

669

2026.02.12

PostgreSQL性能优化与索引调优实战
PostgreSQL性能优化与索引调优实战

本专题面向后端开发与数据库工程师,深入讲解 PostgreSQL 查询优化原理与索引机制。内容包括执行计划分析、常见索引类型对比、慢查询优化策略、事务隔离级别以及高并发场景下的性能调优技巧。通过实战案例解析,帮助开发者提升数据库响应速度与系统稳定性。

58

2026.02.12

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

相关下载

更多
angular过滤搜索
jQuery单页全屏垂直滚动特效代码

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
c语言项目php解释器源码分析探索
c语言项目php解释器源码分析探索

共7课时 | 0.4万人学习

nginx浅谈
nginx浅谈

共15课时 | 0.9万人学习

php初学者入门课程
php初学者入门课程

共10课时 | 0.7万人学习

最新文章

更多
PHP加密会话数据怎么做_加密session防会话劫持【汇总】
如何在 PHP 中通过 ID 安全获取单条数据库记录
PHP静态里用self还是static_PHP静态绑定关键字区别详解【详解】
PHP如何实现排队机制_高并发请求排队处理方法介绍【教程】
如何在 PHP 表单提交中正确获取 select 下拉框的选中值
SQL Server 游标在 PHP 中执行异常中断的解决方案
如何解决 CSRF Token 在生产服务器上失效的问题
SQL Server 游标在 PHP 中执行不完整?改用集合操作彻底解决
MongoDB 中 PHP 实现数组字段到字符串的安全拼接教程
Sulu CMS 中为导航项动态注入页面图标数据的完整实现方案
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部