PHP数据过滤函数.docxVIP

PHP数据过滤函数 篇一：php过滤提交数据防止sql注入攻击 PHP过滤提交的数据以防止SQL注入攻击。在SQL注入攻击中，用户通过操纵表单或获取查询字符串向数据库查询添加信息。例如，假设您有一个简单的登录数据库。该数据库中的每条记录都有一个用户名字段和一个密码字段。建立一个登录表单，以便用户可以登录。 规则1：绝不要信任外部数据或输入 关于web应用程序的安全性，首先要认识到的是外部数据不应该被信任。外部数据包括程序员在PHP代码中未直接输入的任何数据。在采取措施确保安全之前，来自任何其他来源的任何数据（如get变量、表单帖子、数据库、配置文件、会话变量或cookie）都不受信任。例如，以下数据元素可以被认为是安全的，因为它们是在PHP中设置的。清单1安全代码 $myusername=‘tmyer’; $arrayusers=array（tmyer、tom、tommy）； define(”greeting”,‘hellothere’.$myusername); ? 但是，下面的数据元素都是有瑕疵的。 清单2不安全、有缺陷的代码 $myusername=$_post[’username’];//tainted! $arrayusers=array（$myusername，tom，tommy）；//污染的 define(”greeting”,‘hellothere’.$myusername);//tainted! ? 为什么第一个变量$myusername是有瑕疵的?因为它直接来自表单post。用户可以在这个输入域中输入任何字符串，包括用来清除文件或运行以前上传的文件的恶意命令。您可能会问，“难道不能使用只接受字母a-z的客户端(javascrīpt)表单检验脚本来避免这种危险吗?”是的，这总是一个有好处的步骤，但是正如在后面会看到的，任何人都可以将任何表单下载到自己的机器上，修改它，然后重新提交他们需要的任何内容。 解决方案很简单：你必须是正确的$uPost[username]运行清理代码。如果不这样做，在使用$MYUSERNAME时，可能会在任何其他时间污染这些对象，例如在数组或常量中。 对用户输入进行清理的一个简单方法是，使用正则表达式来处理它。在这个示例中，只希望接受字母。将字符串限制为特定数量的字符，或者要求所有字母都是小写的，这可能也是个好主意。 清单3确保用户输入的安全性 $myusername=cleaninput($_post[’username’]);//clean! $arrayusers=array（$myusername，tom，tommy）；//清洁的 define(”greeting”,‘hellothere’.$myusername);//clean! functioncleaninput（$input）{ $clean=strtolower($input); $clean=preg_uu替换（“/[^a-z]/”，“，$clean）； $clean=substr($clean,0,12); 退还$clean； } ? 规则2：禁用那些使安全性难以实施的php设置 你已经知道你不能相信用户的输入。您还应该知道，您不应该信任机器上配置PHP的方式。例如，确保禁用 register_globals。如果启用了register_globals，就可能做一些粗心的事情，比如使用$variable替 用相同的名称替换get或post字符串。通过禁用此设置，PHP强制您在正确的命名空间中引用正确的变量。要使用表单post中的变量，您应该引用$uuPOST[variable]。这样，这个特定变量就不会被误解为cookie、会话或get变量。 规则3：如果不能理解它，就不能保护它 一些开发人员使用奇怪的语法，或以紧凑的方式组织语句，以形成简短但不明确的代码。这种方法可能很有效，但如果您不了解代码在做什么，就无法决定如何保护它。 例如，您喜欢下面两段代码中的哪一段? 清单4使代码易于保护 //obfuscatedcode $input=（isset（$_post[username]）？$发布[username]：”； //unobfuscatedcode $input=“； if(isset($_post[’username’])){ $input=$uu发布[username]；