php过滤特殊危险字符的总结

高洛峰

发布时间：2016-11-29 15:20:05

2009人浏览过

来源于php中文网

原创

在网站中表单提交或url获取值我们都可能碰到一些安全问题,下面我总结了一些常用的过滤一些危险特殊字符的解决方法,一般,对于传进来的字符，php可以用addslashes函数处理一遍（要get_magic_quotes_gpc()为假才处理，不然就重复转义了！），这样就能达到一定程度的安全要求,比如这样,代码如下:

if (!get_magic_quotes_gpc()) {

add_slashes($_GET);

add_slashes($_POST);

add_slashes($_COOKIE);

立即学习“PHP免费学习笔记（深入）”；

}

function add_slashes($string) {

if (is_array($string)) {

foreach ($string as $key => $value) {

$string[$key] = add_slashes($value);

}

} else {

$string = addslashes($string);

}

return $string;

}

但是还可以更进一步进行重新编码,解码,代码如下:

//编码

function htmlencode($str) {

if(emptyempty($str)) return;

if($str=="") return $str;

$str=trim($str);

$str=str_replace("&","&",$str);

$str=str_replace("youjiankuohaophpcn",">",$str);

$str=str_replace("zuojiankuohaophpcn","

$str=str_replace(chr(32)," ",$str);

$str=str_replace(chr(9)," ",$str);

$str=str_replace(chr(34),"&",$str);

$str=str_replace(chr(39),"'",$str);

$str=str_replace(chr(13),"zuojiankuohaophpcnbr /youjiankuohaophpcn",$str);

$str=str_replace("'","''",$str);

$str=str_replace("select","select",$str);

$str=str_replace("join","join",$str);

$str=str_replace("union","union",$str);

$str=str_replace("where","where",$str);

$str=str_replace("insert","insert",$str);

$str=str_replace("delete","delete",$str);

$str=str_replace("update","update",$str);

$str=str_replace("like","like",$str);

$str=str_replace("drop","drop",$str);

$str=str_replace("create","create",$str);

$str=str_replace("modify","modify",$str);

$str=str_replace("rename","rename",$str);

$str=str_replace("alter","alter",$str);

$str=str_replace("cast","cas",$str);

return $str;

}

这样就能更放心的对外来数据进行入库处理了,但是从数据库取出来,在前台显示的时候,必须重新解码一下,代码如下:

//解码

function htmldecode($str) {

if(emptyempty($str)) return;

if($str=="") return $str;

$str=str_replace("select","select",$str);

$str=str_replace("join","join",$str);

$str=str_replace("union","union",$str);

$str=str_replace("where","where",$str);

$str=str_replace("insert","insert",$str);

$str=str_replace("delete","delete",$str);

$str=str_replace("update","update",$str);

$str=str_replace("like","like",$str);

$str=str_replace("drop","drop",$str);

$str=str_replace("create","create",$str);

$str=str_replace("modify","modify",$str);

$str=str_replace("rename","rename",$str);

$str=str_replace("alter","alter",$str);

$str=str_replace("cas","cast",$str);

$str=str_replace("&","&",$str);

$str=str_replace(">","youjiankuohaophpcn",$str);

$str=str_replace("

$str=str_replace(" ",chr(32),$str);

$str=str_replace(" ",chr(9),$str);

$str=str_replace("&",chr(34),$str);

$str=str_replace("'",chr(39),$str);

$str=str_replace("zuojiankuohaophpcnbr /youjiankuohaophpcn",chr(13),$str);

$str=str_replace("''","'",$str); //开源代码phpfensi.com

return $str;

}

虽然多了一步编码,解码的过程,但是安全方面,会更进一步,要如何做,自己取舍吧.

再附一些代码如下:

function safe_replace($string) {

$string = str_replace(' ','',$string);

$string = str_replace(''','',$string);

$string = str_replace('*','',$string);

$string = str_replace('"','"',$string);

$string = str_replace("'",'',$string);

$string = str_replace('"','',$string);

$string = str_replace(';','',$string);

$string = str_replace('

$string = str_replace('>','>',$string);

$string = str_replace("{",'',$string);

$string = str_replace('}','',$string);

return $string;

}

//更全面的代码如下:

//处理提交的数据

function htmldecode($str) {

if (emptyempty ( $str ) || "" == $str) {

return "";

}

$str = strip_tags ( $str );

$str = htmlspecialchars ( $str );

$str = nl2br ( $str );

$str = str_replace ( "?", "", $str );

$str = str_replace ( "*", "", $str );

$str = str_replace ( "!", "", $str );

$str = str_replace ( "~", "", $str );

$str = str_replace ( "$", "", $str );

$str = str_replace ( "%", "", $str );

$str = str_replace ( "^", "", $str );

$str = str_replace ( "select", "", $str );

$str = str_replace ( "join", "", $str );

$str = str_replace ( "union", "", $str );

$str = str_replace ( "where", "", $str );

$str = str_replace ( "insert", "", $str );

$str = str_replace ( "delete", "", $str );

$str = str_replace ( "update", "", $str );

$str = str_replace ( "like", "", $str );

$str = str_replace ( "drop", "", $str );

$str = str_replace ( "create", "", $str );

$str = str_replace ( "modify", "", $str );

$str = str_replace ( "rename", "", $str );

$str = str_replace ( "alter", "", $str );

$str = str_replace ( "cast", "", $str );

$farr = array ("//s+/", //过滤多余的空白

"/]*?)>/isU", //过滤

;

$tarr = array (" ", "", //如果要直接清除不安全的标签，这里可以留空

"" );

return $str;

}

php创建数据库能定时自动建吗_php定时任务建库脚本【方案】

PHP怎么写密钥日志追踪_PHP密钥使用日志追踪汇总【汇总】

PHP怎样获取栏目下文章数_PHP栏目文章计数方法【统计】

trae里php-fpm怎么启动_trae启动phpfpm服务教程【步骤】

php科学计数法字符串怎转整型_先取有效位再强转【教程】

PHP速学教程(入门到精通)

PHP怎么学习？PHP怎么入门？PHP在哪学？PHP怎么学才快？不用担心，这里为大家提供了PHP速学教程(入门到精通)，有需要的小伙伴保存下载就能学习啦！

下载

相关专题

全国统一发票查询平台入口合集

本专题整合了全国统一发票查询入口地址合集，阅读专题下面的文章了解更多详细入口。

2026.02.03

短剧入口地址汇总

本专题整合了短剧app推荐平台，阅读专题下面的文章了解更多详细入口。

2026.02.03

植物大战僵尸版本入口地址汇总

本专题整合了植物大战僵尸版本入口地址汇总，前往文章中寻找想要的答案。

2026.02.03

c语言中/相关合集

本专题整合了c语言中/的用法、含义解释。阅读专题下面的文章了解更多详细内容。

2026.02.03

漫蛙漫画网页版入口与正版在线阅读漫蛙MANWA官网访问专题

本专题围绕漫蛙漫画（Manwa / Manwa2）官网网页版入口进行整理，涵盖漫蛙漫画官方主页访问方式、网页版在线阅读入口、台版正版漫画浏览说明及基础使用指引，帮助用户快速进入漫蛙漫画官网，稳定在线阅读正版漫画内容，避免误入非官方页面。

2026.02.03

Yandex官网入口与俄罗斯搜索引擎访问指南 Yandex中文登录与网页版入口

本专题汇总了俄罗斯知名搜索引擎 Yandex 的官网入口、免登录访问地址、中文登录方法与网页版使用指南，帮助用户稳定访问 Yandex 官网，并提供一站式入口汇总。无论是登录入口还是在线搜索，用户都能快速获取最新稳定的访问链接与使用指南。

2026.02.03

Java 设计模式与重构实践

本专题专注讲解 Java 中常用的设计模式，包括单例模式、工厂模式、观察者模式、策略模式等，并结合代码重构实践，帮助学习者掌握如何运用设计模式优化代码结构，提高代码的可读性、可维护性和扩展性。通过具体示例，展示设计模式如何解决实际开发中的复杂问题。

2026.02.03

C# 并发与异步编程

本专题系统讲解 C# 异步编程与并发控制，重点介绍 async 和 await 关键字、Task 类、线程池管理、并发数据结构、死锁与线程安全问题。通过多个实战项目，帮助学习者掌握如何在 C# 中编写高效的异步代码，提升应用的并发性能与响应速度。

2026.02.03

Python 强化学习与深度Q网络（DQN）

本专题深入讲解 Python 在强化学习（Reinforcement Learning）中的应用，重点介绍深度Q网络（DQN）及其实现方法，涵盖 Q-learning 算法、深度学习与神经网络的结合、环境模拟与奖励机制设计、探索与利用的平衡等。通过构建一个简单的游戏AI，帮助学习者掌握如何使用 Python 训练智能体在动态环境中作出决策。

2026.02.03

热门下载

网站特效

网站源码

网站素材

前端模板