摘要:提交數(shù)據(jù)過濾的基本原則提交變量進(jìn)數(shù)據(jù)庫時,我們必須使用進(jìn)行過濾�,像我們的注入問題,一個也就搞定了����。其實在涉及到變量取值時��,函數(shù)對字符串的過濾也是個不錯的選擇����。對于進(jìn)出數(shù)據(jù)庫的數(shù)據(jù)可以起到格式話的作用����。簡單的數(shù)據(jù)過濾入庫出庫顯示
1、php提交數(shù)據(jù)過濾的基本原則
1)提交變量進(jìn)數(shù)據(jù)庫時�,我們必須使用addslashes()進(jìn)行過濾,像我們的注入問題�����,一個addslashes()也就搞定了����。其實在涉及到變量取值時,intval()函數(shù)對字符串的過濾也是個不錯的選擇����。
2)在php.ini中開啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引號變?yōu)樾备?���。magic_quotes_runtime對于進(jìn)出數(shù)據(jù)庫的數(shù)據(jù)可以起到格式話的作用��。其實�����,早在以前注入很瘋狂時�����,這個參數(shù)就很流行了�。
3)在使用系統(tǒng)函數(shù)時�����,必須使用escapeshellarg(),escapeshellcmd()參數(shù)去過濾�����,這樣你也就可以放心的使用系統(tǒng)函數(shù)�。
4)對于跨站��,strip_tags(),htmlspecialchars()兩個參數(shù)都不錯�����,對于用戶提交的的帶有html和php的標(biāo)記都將進(jìn)行轉(zhuǎn)換。比如尖括號"<"就將轉(zhuǎn)化為 "<"這樣無害的字符�����。
$new = htmlspecialchars("Test", ENT_QUOTES);
strip_tags($text,);
5)對于相關(guān)函數(shù)的過濾�,就像先前的include(),unlink,fopen()等等,只要你把你所要執(zhí)行操作的變量指定好或者對相關(guān)字符過濾嚴(yán)密��,我想這樣也就無懈可擊了�。
2、PHP簡單的數(shù)據(jù)過濾
1)入庫: trim($str),addslashes($str)
2)出庫: stripslashes($str)
3)顯示: htmlspecialchars(nl2br($str))
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/20692.html
