加入收藏 | 设为首页 | 会员中心 | 我要投稿 西双版纳站长网 (https://www.0691zz.com.cn/)- 数据计算、IT业界、服务器、教程、云日志!
当前位置: 首页 > 站长学院 > PHP教程 > 正文

PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】

发布时间:2021-01-25 18:16:36 所属栏目:PHP教程 来源:网络整理
导读:本篇章节讲解PHP实现表单提交数据的验证处理功能。供大家参考研究具体如下: 防XSS攻击代码: ',

本篇章节讲解PHP实现表单提交数据的验证处理功能。分享给大家供大家参考,具体如下:

防XSS攻击代码:

','>',$string); $string = str_replace("{",$string); $string = str_replace('}',$string); $string = str_replace('',$string); return $string; }

代码实例:

(大于)成为 > return quotes(htmlspecialchars(trim($str))); } //防sql注入 function quotes($content) { //if $content is an array if (is_array($content)) { foreach ($content as $key=>$value) { //$content[$key] = mysql_real_escape_string($value); /*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(') 双引号(") 反斜杠() NULL */ $content[$key] = addslashes($value); } } else { //if $content is not an array //$content=mysql_real_escape_string($content); $content=addslashes($content); } return $content; } ?> $v) { if(preg_match($pattern,$k,$match)) { die("SQL Injection denied!"); } if(is_array($v)) { filter_injection($request[$k]); } else { if(preg_match($pattern,$v,$match)) { die("SQL Injection denied!"); } } } }

防sql注入:

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响:

如果成功,则该函数返回被转义的字符串。如果失败,则返回 false。

语法

mysql_real_escape_string(string,connection)

参数

对于纯数字或数字型字符串的校验可以用

is_numeric()检测变量是否为数字或数字字符串

实例:

bool is_array ( mixed $var ) 如果 var 是 array,则返回 TRUE,否则返回 FALSE。

bool is_dir ( string $filename ) 判断给定文件名是否是一个目录。 如果文件名存在,并且是个目录,返回 TRUE,否则返回FALSE。

bool is_file ( string $filename ) 判断给定文件名是否为一个正常的文件。 如果文件存在且为正常的文件则返回 TRUE,否则返回 FALSE。

Note:

因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型,对 2GB 以上的文件,一些文件系统函数可能返回无法预期的结果 。

bool is_bool ( mixed $var ) 如果 var 是 boolean 则返回 TRUE。

bool is_string ( mixed $var ) 如果 var 是 string 则返回 TRUE,否则返回 FALSE。

bool is_int ( mixed $var ) 如果 var 是 integer 则返回 TRUE,否则返回 FALSE。

Note:

若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

bool is_float ( mixed $var ) 如果 var 是 float 则返回 TRUE,否则返回 FALSE。

Note:

若想测试一个变量是否是数字或数字字符串(如表单输入,它们通常为字符串),必须使用 is_numeric()。

bool is_null ( mixed $var ) 如果 var 是 null 则返回 TRUE,否则返回 FALSE。

bool is_readable ( string $filename ) 判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE,否则返回 FALSE。

bool is_writable ( string $filename ) 如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。

bool file_exists ( string $filename ) 检查文件或目录是否存在。 在 Windows 中要用 //computername/share/filename 或者 computernamesharefilename 来检查网络中的共享文件。 如果由 filename 指定的文件或目录存在则返回 TRUE,否则返回 FALSE。

bool is_executable ( string $filename ) 判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE,错误时返回FALSE。

更多关于PHP相关内容感兴趣的读者可查看本站专题:《》、《》、《》、《》、《》、《》、《》及《》

希望本文所述对大家PHP程序设计有所帮助。

(编辑:西双版纳站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

描述