复制代码 代码如下:
//安全过滤输入[jb]
function check_str($string, $isurl = false)
{
$string = preg_replace(‘/[\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F]/’,”,$string);
$string = str_replace(array(“\0″,”″,”\r”),”,$string);
empty($isurl) && $string = preg_replace(“/&(?!(#[0-9]+|[a-z]+);)/si”,’&’,$string);
$string =
【PHP安全过滤函数详解】
在PHP开发中,为了防止各种安全威胁,如XSS(跨站脚本攻击)和SQL注入等,我们需要对用户输入的数据进行过滤和清理。以下是一些常用的PHP安全过滤函数示例,它们可以帮助我们保护应用程序免受潜在的安全攻击。
1. **check_str() 函数**
`check_str()` 函数用于过滤输入字符串,移除可能的非法字符。它主要处理了以下几类字符:
- 控制字符:通过`preg_replace`函数移除`\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F`范围内的控制字符。
- 空字符:使用`str_replace`替换`\0`, `"\"`, 和 `\r`。
- HTML实体:如果`$isurl`未设置或为`false`,则替换非标准的HTML实体,例如`&`。
2. **fliter_script() 函数**
`fliter_script()` 用于过滤掉可能导致JavaScript执行的字符串,防止XSS攻击。它主要移除了如下内容:
- JavaScript事件:用正则表达式替换`on(click|load|key|mouse|error|abort|move|unload|change|dblclick|move|reset|resize|submit)`。
- `<script>`和`</script>`标签:移除整个`<script>`标签及其内容。
- `<iframe>`标签:移除整个`<iframe>`标签及其内容。
3. **fliter_html() 函数**
`fliter_html()` 是一个简单的HTML转义函数,如果`htmlspecialchars`函数存在,则使用它;否则,使用`str_replace`函数手动替换特殊字符,将`&`, `\"`, `'`, `<`, `>`转换为它们的HTML实体形式,以防止XSS攻击。
4. **fliter_sql() 函数**
`fliter_sql()` 用于防止SQL注入攻击,通过将常见的SQL关键字和特殊字符替换为无害的字符串,例如将`select`, `insert`, `update`, `delete`, `'`, `\/\*`, `\.\/`, `union`, `into`, `load_file`, `outfile`替换为空字符串。
5. **fliter_escape() 函数**
`fliter_escape()` 是一个通用的数据过滤函数,可以处理数组或字符串。如果是数组,它会递归地对每个元素应用`fliter_escape()`;如果是字符串,其具体行为取决于实际实现,通常会结合其他过滤函数,如`fliter_html()`和`fliter_sql()`,提供全方位的数据过滤。
这些函数是保护Web应用程序免受常见攻击的基本工具。然而,仅仅依赖这些函数可能不足以应对所有安全挑战,因为新的攻击手段不断出现。因此,开发人员应该遵循最佳实践,如使用预处理语句(如PDO或mysqli的预处理语句)来防止SQL注入,以及利用已有的安全库,如HTMLPurifier来过滤和清理HTML内容。
编写安全的PHP代码意味着始终保持警惕,并确保对用户输入的数据进行适当的验证和清理。这不仅可以提高应用程序的稳定性,还能有效地防止恶意用户的攻击。
