PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】

本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考，具体如下：

防XSS攻击代码：

/**
 * 安全过滤函数
 *
 * @param $string
 * @return string
 */
function safe_replace($string) {
 $string = str_replace('%20','',$string);
 $string = str_replace('%27','',$string);
 $string = str_replace('%2527','',$string);
 $string = str_replace('*','',$string);
 $string = str_replace('"','"',$string);
 $string = str_replace("'",'',$string);
 $string = str_replace('"','',$string);
 $string = str_replace(';','',$string);
 $string = str_replace('<','&lt;',$string);
 $string = str_replace('>','&gt;',$string);
 $string = str_replace("{",'',$string);
 $string = str_replace('}','',$string);
 $string = str_replace('\\','',$string);
 return $string;
}

代码实例：

<?php
$user_name = strim($_REQUEST['user_name']);
function strim($str)
{
 //trim() 函数移除字符串两侧的空白字符或其他预定义字符。
 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体(防xss攻击)。
 //预定义的字符是：
 //& （和号）成为 &amp;
 //" （双引号）成为 &quot;
 //' （单引号）成为 '
 //< （小于）成为 &lt;
 //> （大于）成为 &gt;
 return quotes(htmlspecialchars(trim($str)));
}
//防sql注入
function quotes($content)
{
 //if $content is an array
 if (is_array($content))
 {
  foreach ($content as $key=>$value)
  {
   //$content[$key] = mysql_real_escape_string($value);
   /*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
   预定义字符是：
   单引号（'）
   双引号（"）
   反斜杠（\）
   NULL */
   $content[$key] = addslashes($value);
  }
 } else
 {
  //if $content is not an array
  //$content=mysql_real_escape_string($content);
  $content=addslashes($content);
 }
 return $content;
}
?>

//过滤sql注入
function filter_injection(&$request)
{
 $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])/i";
 foreach($request as $k=>$v)
 {
    if(preg_match($pattern,$k,$match))
    {
      die("SQL Injection denied!");
    }
    if(is_array($v))
    {
     filter_injection($request[$k]);
    }
    else
    {
     if(preg_match($pattern,$v,$match))
     {
      die("SQL Injection denied!");
     }
    }
 }
}

防sql注入：

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。

下列字符受影响：

\x00
\n
\r
'
”
\x1a

如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

语法

mysql_real_escape_string(string,connection)

参数	描述
string 必需。	规定要转义的字符串。
connection 可选。	规定 MySQL 连接。如果未规定，则使用上一个连接。

对于纯数字或数字型字符串的校验可以用

is_numeric()检测变量是否为数字或数字字符串

实例：

<?php 
function get_numeric($val) { 
 if (is_numeric($val)) { 
 return $val + 0; 
 } 
 return 0; 
} 
?>

is_array — 检测变量是否是数组
bool is_array ( mixed $var )
如果 var 是 array，则返回 TRUE，否则返回 FALSE。

is_dir 判断给定文件名是否是一个目录
bool is_dir ( string $filename )
判断给定文件名是否是一个目录。
如果文件名存在，并且是个目录，返回 TRUE，否则返回FALSE。

is_file — 判断给定文件名是否为一个正常的文件
bool is_file ( string $filename )
判断给定文件名是否为一个正常的文件。
如果文件存在且为正常的文件则返回 TRUE，否则返回 FALSE。
Note:
因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型，对 2GB 以上的文件，一些文件系统函数可能返回无法预期的结果 。

is_bool — 检测变量是否是布尔型
bool is_bool ( mixed $var )
如果 var 是 boolean 则返回 TRUE。

is_string — 检测变量是否是字符串
bool is_string ( mixed $var )
如果 var 是 string 则返回 TRUE，否则返回 FALSE。

is_int — 检测变量是否是整数
bool is_int ( mixed $var )
如果 var 是 integer 则返回 TRUE，否则返回 FALSE。
Note:
若想测试一个变量是否是数字或数字字符串（如表单输入，它们通常为字符串），必须使用 is_numeric()。

is_float — 检测变量是否是浮点型
bool is_float ( mixed $var )
如果 var 是 float 则返回 TRUE，否则返回 FALSE。
Note:
若想测试一个变量是否是数字或数字字符串（如表单输入，它们通常为字符串），必须使用 is_numeric()。

is_null — 检测变量是否为 NULL
bool is_null ( mixed $var )
如果 var 是 null 则返回 TRUE，否则返回 FALSE。

is_readable — 判断给定文件名是否可读
bool is_readable ( string $filename )
判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE，否则返回 FALSE。

is_writable — 判断给定的文件名是否可写
bool is_writable ( string $filename )
如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。

file_exists — 检查文件或目录是否存在
bool file_exists ( string $filename )
检查文件或目录是否存在。
在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。
如果由 filename 指定的文件或目录存在则返回 TRUE，否则返回 FALSE。

is_executable — 判断给定文件名是否可执行
bool is_executable ( string $filename )
判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE，错误时返回FALSE。

更多关于PHP相关内容感兴趣的读者可查看本站专题：《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

# PHP  # 表单提交  # 数据  # 验证  # 防SQL注入  # XSS攻击  # Php中用PDO查询Mysql来避免SQL注入风险的方法  # php+mysql注入页面实现  # 防止MySQL注入或HTML表单滥用的PHP程序  # PHP MYSQL注入攻击需要预防7个要点  # php mysql_real_escape_string addslashes及mysql绑定参数防  # PHP简单实现防止SQL注入的方法  # PHP简单预防sql注入的方法  # PHP中防止SQL注入方法详解  # php中$_GET与$_POST过滤sql注入的方法  # PHP+mysql防止SQL注入的方法小结  # 是一个  # 表单  # 程序设计  # 可执行  # 是否存在  # 整型  # 是个  # 单引号  # 双引号  # 相关内容  # 是有  # 浮点  # 可以用  # 感兴趣  # 给大家  # 要用  # 布尔  # 或其他  # 可选  # 更多关于 

相关文章： 小型网站制作HTML,*游戏网站怎么搭建？  北京建设网站制作公司,北京古代建筑博物馆预约官网？  网站制作大概多少钱一个,做一个平台网站大概多少钱？  合肥制作网站的公司有哪些,合肥聚美网络科技有限公司介绍？  香港服务器租用费用高吗？如何避免常见误区？  c# Task.Yield 的作用是什么 它和Task.Delay(1)有区别吗  青浦网站制作公司有哪些,苹果官网发货地是哪里？  网站海报制作教学视频教程,有什么免费的高清可商用图片网站，用于海报设计？  如何选择高效稳定的ISP建站解决方案？  如何在橙子建站上传落地页？操作指南详解  湖州网站制作公司有哪些,浙江中蓝新能源公司官网？  如何快速打造个性化非模板自助建站？  如何快速搭建自助建站会员专属系统？  寿县云建站：智能SEO优化与多行业模板快速上线指南  如何在腾讯云服务器快速搭建个人网站？  如何在阿里云购买域名并搭建网站？  建站中国官网：模板定制+SEO优化+建站流程一站式指南  已有域名如何快速搭建专属网站？  建站之家VIP精选网站模板与SEO优化教程整合指南  历史网站制作软件,华为如何找回被删除的网站？  如何通过虚拟主机快速完成网站搭建？  建站之星如何助力网站排名飙升？揭秘高效技巧  C#怎么创建控制台应用 C# Console App项目创建方法  上海网站制作网页,上海本地的生活网站有哪些？最好包括生活的各个方面的？  如何设计高效校园网站？  如何在Mac上搭建Golang开发环境_使用Homebrew安装和管理Go版本  如何在香港服务器上快速搭建免备案网站？  香港服务器选型指南：免备案配置与高效建站方案解析  制作网页的网站有哪些,电脑上怎么做网页？  如何选择建站程序？包含哪些必备功能与类型？  如何通过FTP空间快速搭建安全高效网站？  如何高效利用200m空间完成建站？  如何在Windows 2008云服务器安全搭建网站？  ,交易猫的商品怎么发布到网站上去？  电脑免费海报制作网站推荐,招聘海报哪个网站多？  电影网站制作价格表,那些提供免费电影的网站，他们是怎么盈利的？  MySQL查询结果复制到新表的方法(更新、插入)  南阳网站制作公司推荐,小学电子版试卷去哪里找资源好？  Swift中switch语句区间和元组模式匹配  建站之星后台管理系统如何操作？  高防服务器：AI智能防御DDoS攻击与数据安全保障  如何在自有机房高效搭建专业网站？  建站主机与服务器功能差异如何区分？  如何通过商城自助建站源码实现零基础高效建站？  建站之星各版本价格是多少？  如何获取上海专业网站定制建站电话？  免费制作海报的网站,哪位做平面的朋友告诉我用什么软件做海报比较好?ps还是cd还是ai这几个软件我都会些我是做网页的？  完全自定义免费建站平台：主题模板在线生成一站式服务  香港服务器WordPress建站指南：SEO优化与高效部署策略  购物网站制作公司有哪些,哪个购物网站比较好？