過濾php

⑴ PHP字元串中特殊符號的過濾方法介紹

本篇文章主要是對PHP字元串中特殊符號的過濾方法進行了詳細的介紹，需要的朋友可以過來參考下，希望對大家有所幫助
有時候我們會遇到過濾字元串中特殊字元的問題，本文提供了一個處理特殊字元串的方法，可能有遺漏，如果讀者發現了可以
代碼如下:
function
strFilter($str){

$str
=
str_replace('`',
'',
$str);

$str
=
str_replace('·',
'',
$str);

$str
=
str_replace('~',
'',
$str);

$str
=
str_replace('!',
'',
$str);

$str
=
str_replace('！',
'',
$str);

$str
=
str_replace('@',
'',
$str);

$str
=
str_replace('#',
'',
$str);

$str
=
str_replace('$',
'',
$str);

$str
=
str_replace('￥',
'',
$str);

$str
=
str_replace('%',
'',
$str);

$str
=
str_replace('^',
'',
$str);

$str
=
str_replace('……',
'',
$str);

$str
=
str_replace('&',
'',
$str);

$str
=
str_replace('*',
'',
$str);

$str
=
str_replace('(',
'',
$str);

$str
=
str_replace(')',
'',
$str);

$str
=
str_replace('（',
'',
$str);

$str
=
str_replace('）',
'',
$str);

$str
=
str_replace('-',
'',
$str);

$str
=
str_replace('_',
'',
$str);

$str
=
str_replace('——',
'',
$str);

$str
=
str_replace('+',
'',
$str);

$str
=
str_replace('=',
'',
$str);

$str
=
str_replace('|',
'',
$str);

$str
=
str_replace('',
'',
$str);

$str
=
str_replace('[',
'',
$str);

$str
=
str_replace(']',
'',
$str);

$str
=
str_replace('【',
'',
$str);

$str
=
str_replace('】',
'',
$str);

$str
=
str_replace('{',
'',
$str);

$str
=
str_replace('}',
'',
$str);

$str
=
str_replace(';',
'',
$str);

$str
=
str_replace('；',
'',
$str);

$str
=
str_replace(':',
'',
$str);

$str
=
str_replace('：',
'',
$str);

$str
=
str_replace(''',
'',
$str);

$str
=
str_replace('"',
'',
$str);

$str
=
str_replace('“',
'',
$str);

$str
=
str_replace('”',
'',
$str);

$str
=
str_replace(',',
'',
$str);

$str
=
str_replace('，',
'',
$str);

$str
=
str_replace('<',
'',
$str);

$str
=
str_replace('>',
'',
$str);

$str
=
str_replace('《',
'',
$str);

$str
=
str_replace('》',
'',
$str);

$str
=
str_replace('.',
'',
$str);

$str
=
str_replace('。',
'',
$str);

$str
=
str_replace('/',
'',
$str);

$str
=
str_replace('、',
'',
$str);

$str
=
str_replace('?',
'',
$str);

$str
=
str_replace('？',
'',
$str);

return
trim($str);
}

⑵ php中如何過濾用戶的輸入麻煩告訴我

可以採用以下復幾點措施。
（制1）在用戶數據進入資料庫之前使用addslashes()函數過濾，可以進行一些字元的轉義，並過濾掉可能引起資料庫問題的字元。可以使用stripslashes()將數據返回到原始形式。
（2）在php.infi中開啟magic_quotes_gpc和magic_quotes_runtime指令。它們可以自動的添加和過濾斜杠，前者主要用於格式化GET，POST，和cookie變數，後者用於過濾進出資料庫的數據。
（3）當在system()或者exex()函數中使用用戶輸入數據作為參數時，必須使用escapeshellcmd()。用來避免懷有惡意的用戶強迫系統運行某些命令。
（4）可以使用stip_tags()從一個字元串中去掉HTML和PHP標記，這樣可以避免用戶將惡意節本植入到用戶的數據中。
（5）可以使用htmlspecialchars()，可以將字元專程它們的HTML等價實體。例如，<將被轉換成&lt; ,該函數可以將任何腳本轉換成無害的字元。
總之，在使用用戶的數據時，一定要小心，原則即是不要相信用戶輸入的任何數據，必須要進行過濾和轉換。

⑶ PHP 過濾函數有哪些

①常用的安全函數：

mysql_real_escape_string()

addslashes()

②這些函數的作用：

mysql_real_escape_string()和addslashes()函數都是對數據中的
單引號、雙引號進行轉義！也就是防止sql注入！
但是mysql_real_escape_string()考慮了字元集，更加的安全一些！
經過查閱相關的資料，可以得出一個結論：當前的字元集是單位元組的話，這兩個函數作用相同，都可以起到轉義過濾的作用，但是，有誰會只是用單位元組呢？尤其是utf8越來越廣泛的被使用到！

③函數的用法：

在了解mysql_real_escape_string()和addslashes()這兩個函數的用法的時候，我們必須先了解另外兩個函數的含義！

get_magic_quotes_gpc()和get_magic_quotes_runtime()，我們來比較一下兩個函數的異同：

相同：
a、兩者都是用來獲取php.ini配置文件的配置情況的！當開啟的時候返回1，關閉的時候返回0！

b、當開啟的時候，都會對指定范圍內的數據進行轉義過濾！

⑷ php內容過濾規則，求幫助

上面的是正則表達式，用豎線隔開的一組關鍵字，當提交的內容包含這些關鍵字時就會提示非法，看看你的圖片地址是不是有單詞在上面的關鍵字中。比如：update

⑸ 整理了php過濾字元串幾個例子

用正則表達式替換。
因為你沒有詳細說明，所以我無法給你演示，找一本正則表達式手冊回，如果你熟悉答php，應該很容易看懂，在php裡面有正則表達式的相關函數，比如替換/匹配都很方便。

以下是幾個例子：
正則表達式說明
/\b([a-z]+) \1\b/gi一個單詞連續出現的位置
/(\w+):\/\/([^/:]+)(:\d*)?([^# ]*)/將一個URL解析為協議、域、埠及相對路徑
/^(?:Chapter|Section) [1-9][0-9]{0,1}$/定位章節的位置
/[-a-z]/A至z共26個字母再加一個-號。
/ter\b/可匹配chapter，而不能terminal
/\Bapt/可匹配chapter，而不能aptitude
/Windows(?=95 |98 |NT )/可匹配Windows95或Windows98或WindowsNT,當找到一個匹配後，從Windows後面開始進行下一次的檢索匹配。

⑹ php過濾標簽如何實現，求高手指導

正則表達式：[.*?]

替換為空

完整的php程序如下：

<?php

$str='[backcolor=#ffffff][color=#333333][font=宋體,tahoma,arial]呵呵1233我是簡介[/font][/color][/backcolor]';

$str=preg_replace('#[.*?]#','',$str);

echo$str;

?>

運行結果：

呵呵1233我是簡介

⑺ php數組的重復值如何過濾掉

array_unique() 函數移除數組中的重復的值，並返回結果數組。
當幾個數組元素回的值相等時，只保答留第一個元素，其他的元素被刪除。
返回的數組中鍵名不變。

array_unique() 先將值作為字元串排序，然後對每個值只保留第一個遇到的鍵名，接著忽略所有後面的鍵名。這並不意味著在未排序的 array 中同一個值的第一個出現的鍵名會被保留。

⑻ php中數據過濾的問題

我來解釋一下吧
preg_replace('/[\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F]/','',$string);

去掉控制字元，你google一下ascii table就知道了，php裡面 - 代表范圍，比如\x00-\x08指的是ASCII代碼在\x00到\x08范圍的字元，\x0A和\x0D代表回車換行，所以沒包含在這個裡面，否則直接\x00-\x1F了，

$string = str_replace(array("\0","%00","\r"),'',$string);
\0表示ASCII 0x00的字元，通常作為字元串結束標志

$string = preg_replace("/&(?!(#[0-9]+|[a-z]+);)/si",'&',$string);

我們知道HTML裡面可以用&#xxx;來對一些字元進行編碼，比如 (空格), ߷ Unicode字元等，A(?!B) 表示的是A後面不是B,所以作者想保留 ߷類似的 HTML編碼字元，去掉其他的問題字元，比如 &123; &#nbsp;

str_replace(array("%3C",'<'),'<',$string);

第一個'<'多餘吧，%3C是編碼以後的 <, 一般用在URL編碼里

str_replace(array("%3E",'>'),'>',$string);

str_replace(array('"',"'","\t",' '),array('"',"'",'',''),$string);

略過

有問題再追問

⑼ php怎麼過濾用戶輸入

php安全篇值過濾用戶輸入的人參數
規則 1：絕不要信任外部數據或輸入
關於Web應用程序安全性，必須認識到的第一件事是不應該信任外部數據。外部數據(outside data) 包括不是由程序員在PHP代碼中直接輸入的任何數據。在採取措施確保安全之前，來自任何其他來源(比如 GET 變數、表單 POST、資料庫、配置文件、會話變數或 cookie)的任何數據都是不可信任的。
例如，下面的數據元素可以被認為是安全的，因為它們是在PHP中設置的。
復制代碼 代碼如下:
<?php
$myUsername = 'tmyer';
$arrayUsers = array('tmyer', 'tom', 'tommy');define(」GREETING」, 'hello there' . $myUsername);?>
但是，下面的數據元素都是有瑕疵的。
清單 2. 不安全、有瑕疵的代碼
復制代碼 代碼如下:
<?php
$myUsername = $_POST['username']; //tainted!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //tainted!
define(」GREETING」, 'hello there' . $myUsername); //tainted!
?>
為 什麼第一個變數 $myUsername 是有瑕疵的？因為它直接來自表單 POST。用戶可以在這個輸入域中輸入任何字元串，包括用來清除文件或運行以前上傳的文件的惡意命令。您可能會問，「難道不能使用只接受字母 A-Z 的客戶端（Javascrīpt）表單檢驗腳本來避免這種危險嗎？」是的，這總是一個有好處的步驟，但是正如在後面會看到的，任何人都可以將任何錶單下載 到自己的機器上，修改它，然後重新提交他們需要的任何內容。
解決方案很簡單：必須對 $_POST['username'] 運行清理代碼。如果不這么做，那麼在使用 $myUsername 的任何其他時候（比如在數組或常量中），就可能污染這些對象。
對用戶輸入進行清理的一個簡單方法是，使用正則表達式來處理它。在這個示例中，只希望接受字母。將字元串限制為特定數量的字元，或者要求所有字母都是小寫的，這可能也是個好主意。
清單 3. 使用戶輸入變得安全
復制代碼 代碼如下:
<?php
$myUsername = cleanInput($_POST['username']); //clean!
$arrayUsers = array($myUsername, 'tom', 'tommy'); //clean!
define(」GREETING」, 'hello there' . $myUsername); //clean!
function cleanInput($input){
$clean = strtolower($input);
$clean = preg_replace(」/[^a-z]/」, 「」, $clean);$clean = substr($clean,0,12);
return $clean;
}
?>
規則 2：禁用那些使安全性難以實施的 PHP 設置已經知道了不能信任用戶輸入，還應該知道不應該信任機器上配置 PHP 的方式。例如，要確保禁用 register_globals。如果啟用了 register_globals，就可能做一些粗心的事情，比如使用 $variable 替換同名的 GET 或 POST 字元串。通過禁用這個設置，PHP 強迫您在正確的名稱空間中引用正確的變數。要使用來自表單 POST 的變數，應該引用 $_POST['variable']。這樣就不會將這個特定變數誤會成 cookie、會話或 GET 變數。
規則 3：如果不能理解它，就不能保護它
一些開發人員使用奇怪的語法，或者將語句組織得很緊湊，形成簡短但是含義模糊的代碼。這種方式可能效率高，但是如果您不理解代碼正在做什麼，那麼就無法決定如何保護它。
例如，您喜歡下面兩段代碼中的哪一段？
清單 4. 使代碼容易得到保護
復制代碼 代碼如下:
<?php
//obfuscated code
$input = (isset($_POST['username']) ? $_POST['username']:」);//unobfuscated code
$input = 」;
if (isset($_POST['username'])){
$input = $_POST['username'];
}else{
$input = 」;
}
?>
在第二個比較清晰的代碼段中，很容易看出 $input 是有瑕疵的，需要進行清理，然後才能安全地處理。
規則 4：「縱深防禦」 是新的法寶
本教程將用示例來說明如何保護在線表單，同時在處理表單的 PHP 代碼中採用必要的措施。同樣，即使使用 PHP regex 來確保 GET 變數完全是數字的，仍然可以採取措施確保 SQL 查詢使用轉義的用戶輸入。
縱深防禦不只是一種好思想，它可以確保您不會陷入嚴重的麻煩。
既然已經討論了基本規則，現在就來研究第一種威脅：SQL 注入攻擊。
防止 SQL 注入攻擊
在 SQL 注入攻擊 中，用戶通過操縱表單或 GET 查詢字元串，將信息添加到資料庫查詢中。例如，假設有一個簡單的登錄資料庫。這個資料庫中的每個記錄都有一個用戶名欄位和一個密碼欄位。構建一個登錄表單，讓用戶能夠登錄。
清單 5. 簡單的登錄表單
復制代碼 代碼如下:
<html>
<head>
<title>Login</title>
</head>
<body>
<form action=」verify.php」 method=」post」>
<p><label for='user'>Username</label>
<input type='text' name='user' id='user'/>
</p>
<p><label for='pw'>Password</label>
<input type='password' name='pw' id='pw'/>
</p>
<p><input type='submit' value='login'/></p>
</form>
</body>
</html>
這個表單接受用戶輸入的用戶名和密碼，並將用戶輸入提交給名為 verify.php 的文件。在這個文件中，PHP 處理來自登錄表單的數據，如下所示：
清單 6. 不安全的 PHP 表單處理代碼
復制代碼 代碼如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = 「select count(*) as ctr from users where username='」.$username.」' and password='」. $pw.」' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?>
這 段代碼看起來沒問題，對嗎？世界各地成百（甚至成千）的 PHP/MySQL 站點都在使用這樣的代碼。它錯在哪裡？好，記住 「不能信任用戶輸入」。這里沒有對來自用戶的任何信息進行轉義，因此使應用程序容易受到攻擊。具體來說，可能會出現任何類型的 SQL 注入攻擊。
例如，如果用戶輸入 foo 作為用戶名，輸入 ' or '1′='1 作為密碼，那麼實際上會將以下字元串傳遞給 PHP，然後將查詢傳遞給 MySQL：
復制代碼 代碼如下:
<?php
$sql = 「select count(*) as ctr from users where username='foo' and password=」 or '1′='1′ limit 1″;?>
這個查詢總是返回計數值 1，因此 PHP 會允許進行訪問。通過在密碼字元串的末章節附註入某些惡意 SQL，黑客就能裝扮成合法的用戶。
解 決這個問題的辦法是，將 PHP 的內置 mysql_real_escape_string() 函數用作任何用戶輸入的包裝器。這個函數對字元串中的字元進行轉義，使字元串不可能傳遞撇號等特殊字元並讓 MySQL 根據特殊字元進行操作。清單 7 展示了帶轉義處理的代碼。
清單 7. 安全的 PHP 表單處理代碼
復制代碼 代碼如下:
<?php
$okay = 0;
$username = $_POST['user'];
$pw = $_POST['pw'];
$sql = 「select count(*) as ctr from users where username='」.mysql_real_escape_string($username).」' and password='」. mysql_real_escape_string($pw).」' limit 1″;$result = mysql_query($sql);
while ($data = mysql_fetch_object($result)){if ($data->ctr == 1){
//they're okay to enter the application!
$okay = 1;
}
}
if ($okay){
$_SESSION['loginokay'] = true;
header(」index.php」);
}else{
header(」login.php」);
}
?>
使用 mysql_real_escape_string() 作為用戶輸入的包裝器，就可以避免用戶輸入中的任何惡意 SQL 注入。如果用戶嘗試通過 SQL 注入傳遞畸形的密碼，那麼會將以下查詢傳遞給資料庫：
select count(*) as ctr from users where username='foo' and password='\' or \'1\'=\'1′ limit 1″資料庫中沒有任何東西與這樣的密碼匹配。僅僅採用一個簡單的步驟，就堵住了 Web 應用程序中的一個大漏洞。這里得出的經驗是，總是應該對 SQL 查詢的用戶輸入進行轉義。
但是，還有幾個安全漏洞需要堵住。下一項是操縱 GET 變數。
防止用戶操縱 GET 變數
在前一節中，防止了用戶使用畸形的密碼進行登錄。如果您很聰明，應該應用您學到的方法，確保對 SQL 語句的所有用戶輸入進行轉義。
但 是，用戶現在已經安全地登錄了。用戶擁有有效的密碼，並不意味著他將按照規則行事 —— 他有很多機會能夠造成損害。例如，應用程序可能允許用戶查看特殊的內容。所有鏈接指向 template.php?pid=33 或 template.php?pid=321 這樣的位置。URL 中問號後面的部分稱為查詢字元串。因為查詢字元串直接放在 URL 中，所以也稱為 GET 查詢字元串。
在 PHP 中，如果禁用了 register_globals，那麼可以用 $_GET['pid'] 訪問這個字元串。在 template.php 頁面中，可能會執行與清單 8 相似的操作。
清單 8. 示例 template.php
復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
這 里有什麼錯嗎？首先，這里隱含地相信來自瀏覽器的 GET 變數 pid 是安全的。這會怎麼樣呢？大多數用戶沒那麼聰明，無法構造出語義攻擊。但是，如果他們注意到瀏覽器的 URL 位置域中的 pid=33，就可能開始搗亂。如果他們輸入另一個數字，那麼可能沒問題；但是如果輸入別的東西，比如輸入 SQL 命令或某個文件的名稱（比如 /etc/passwd），或者搞別的惡作劇，比如輸入長達 3,000 個字元的數值，那麼會發生什麼呢？
在這種情況下，要記住基本規則，不要信任用戶輸入。應用程序開發人員知道 template.php 接受的個人標識符（PID）應該是數字，所以可以使用 PHP 的 is_numeric()函數確保不接受非數字的 PID，如下所示：
清單 9. 使用 is_numeric() 來限制 GET 變數復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (is_numeric($pid)){
//we create an object of a fictional class Page$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page}else{
//didn't pass the is_numeric() test, do something else!
}
?>
這個方法似乎是有效的，但是以下這些輸入都能夠輕松地通過 is_numeric() 的檢查：
100 （有效）
100.1 （不應該有小數位）
+0123.45e6 （科學計數法 —— 不好）
0xff33669f （十六進制 —— 危險！危險！）那麼，有安全意識的 PHP 開發人員應該怎麼做呢？多年的經驗表明，最好的做法是使用正則表達式來確保整個 GET 變數由數字組成，如下所示：
清單 10. 使用正則表達式限制 GET 變數
復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid)){
//do something appropriate, like maybe logging them out or sending them back to home page}
}else{
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//moderately protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
需 要做的只是使用 strlen() 檢查變數的長度是否非零；如果是，就使用一個全數字正則表達式來確保數據元素是有效的。如果 PID 包含字母、斜線、點號或任何與十六進制相似的內容，那麼這個常式捕獲它並將頁面從用戶活動中屏蔽。如果看一下 Page 類幕後的情況，就會看到有安全意識的 PHP 開發人員已經對用戶輸入 $pid 進行了轉義，從而保護了 fetchPage() 方法，如下所示：
清單 11. 對 fetchPage() 方法進行轉義
復制代碼 代碼如下:
<?php
class Page{
function fetchPage($pid){
$sql = 「select pid,title,desc,kw,content,status from page where pid='」.mysql_real_escape_string($pid).」'」;}
}
?>
您可能會問，「既然已經確保 PID 是數字，那麼為什麼還要進行轉義？」 因為不知道在多少不同的上下文和情況中會使用 fetchPage() 方法。必須在調用這個方法的所有地方進行保護，而方法中的轉義體現了縱深防禦的意義。
如 果用戶嘗試輸入非常長的數值，比如長達 1000 個字元，試圖發起緩沖區溢出攻擊，那麼會發生什麼呢？下一節更詳細地討論這個問題，但是目前可以添加另一個檢查，確保輸入的 PID 具有正確的長度。您知道資料庫的 pid 欄位的最大長度是 5 位，所以可以添加下面的檢查。
清單 12. 使用正則表達式和長度檢查來限制 GET 變數復制代碼 代碼如下:
<?php
$pid = $_GET['pid'];
if (strlen($pid)){
if (!ereg(」^[0-9]+$」,$pid) && strlen($pid) > 5){//do something appropriate, like maybe logging them out or sending them back to home page}
} else {
//empty $pid, so send them back to the home page}
//we create an object of a fictional class Page, which is now//even more protected from evil user input$obj = new Page;
$content = $obj->fetchPage($pid);
//and now we have a bunch of PHP that displays the page?>
現在，任何人都無法在資料庫應用程序中塞進一個 5,000 位的數值 —— 至少在涉及 GET 字元串的地方不會有這種情況。想像一下黑客在試圖突破您的應用程序而遭到挫折時咬牙切齒的樣子吧！而且因為關閉了錯誤報告，黑客更難進行偵察。
緩沖區溢出攻擊
緩沖區溢出攻擊 試圖使 PHP 應用程序中（或者更精確地說，在 Apache 或底層操作系統中）的內存分配緩沖區發生溢出。請記住，您可能是使用 PHP 這樣的高級語言來編寫 Web 應用程序，但是最終還是要調用 C（在 Apache 的情況下）。與大多數低級語言一樣，C 對於內存分配有嚴格的規則。
緩沖區溢出攻擊向緩沖區發送大量數據，使部分數據溢出到相鄰的內存緩沖區，從而破壞緩沖區或者重寫邏輯。這樣就能夠造成拒絕服務、破壞數據或者在遠程伺服器上執行惡意代碼。
防止緩沖區溢出攻擊的惟一方法是檢查所有用戶輸入的長度。例如，如果有一個表單元素要求輸入用戶的名字，那麼在這個域上添加值為 40 的 maxlength 屬性，並在後端使用 substr() 進行檢查。清單 13 給出表單和 PHP 代碼的簡短示例。

⑽ php怎麼過濾

使用單獨一個模塊，這個模塊負責所有的安全處理。

這個模塊被包含在所有公開的 PHP 腳本的最前專端(或者非常靠前的屬部分)。

參考下面的腳本security.inc

<?php
switch($_POST['form'])
{
case'login':
$allowed=array();
$allowed[]='form';
$allowed[]='username';
$allowed[]='password';
$sent=array_keys($_POST);
if($allowed==$sent)
{
include'/inc/logic/process.inc';
}
break;
}
?>