PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】

本文实例讲述了PHP实现表单提交数据的验证处理功能。分享给大家供大家参考，具体如下：

防XSS攻击代码：

rush:PHP;"> /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27',$string); $string = str_replace('%2527',$string); $string = str_replace('*',$string); $string = str_replace('"','"',$string); $string = str_replace("'",$string); $string = str_replace(';',$string); $string = str_replace('<','<',$string); $string = str_replace('>','>',$string); $string = str_replace("{",$string); $string = str_replace('}',$string); $string = str_replace('\\',$string); return $string; }

代码实例：

rush:PHP;"> PHP $user_name = strim($_REQUEST['user_name']); function strim($str) { //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体(防xss攻击)。 //预定义的字符是： //& （和号）成为 & //" （双引号）成为 " //' （单引号）成为 ' //< （小于）成为 < //> （大于）成为 > return quotes(htmlspecialchars(trim($str))); } //防sql注入 function quotes($content) { //if $content is an array if (is_array($content)) { foreach ($content as $key=>$value) { //$content[$key] = MysqL_real_escape_string($value); /*addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。预定义字符是：单引号（'）双引号（"）反斜杠（\） NULL */ $content[$key] = addslashes($value); } } else { //if $content is not an array //$content=MysqL_real_escape_string($content); $content=addslashes($content); } return $content; } ?>

$v) { if(preg_match($pattern,$k,$match)) { die("sql Injection denied!"); } if(is_array($v)) { filter_injection($request[$k]); } else { if(preg_match($pattern,$v,$match)) { die("sql Injection denied!"); } } } }

防sql注入：

MysqL_real_escape_string() 函数转义 sql 语句中使用的字符串中的特殊字符。

下列字符受影响：

如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。

语法

MysqL_real_escape_string(string,connection)

参数 MysqL 连接。如果未规定，则使用上一个连接。

对于纯数字或数字型字符串的校验可以用

is_numeric()检测变量是否为数字或数字字符串

实例：

rush:PHP;">

检测变量是否是数组 bool is_array ( mixed $var )如果 var 是 array，则返回 TRUE，否则返回 FALSE。

文件名是否是一个目录 bool is_dir ( string $filename )判断给定文件名是否是一个目录。如果文件名存在，并且是个目录，返回 TRUE，否则返回FALSE。

文件名是否为一个正常的文件 bool is_file ( string $filename )判断给定文件名是否为一个正常的文件。如果文件存在且为正常的文件则返回 TRUE，否则返回 FALSE。

Note:

因为 PHP 的整数类型是有符号整型而且很多平台使用 32 位整型，对 2GB 以上的文件，一些文件系统函数可能返回无法预期的结果。

检测变量是否是布尔型 bool is_bool ( mixed $var )如果 var 是 boolean 则返回 TRUE。

检测变量是否是字符串 bool is_string ( mixed $var )如果 var 是 string 则返回 TRUE，否则返回 FALSE。

检测变量是否是整数 bool is_int ( mixed $var )如果 var 是 integer 则返回 TRUE，否则返回 FALSE。

Note:

若想测试一个变量是否是数字或数字字符串（如表单输入，它们通常为字符串），必须使用 is_numeric()。

检测变量是否是浮点型 bool is_float ( mixed $var )如果 var 是 float 则返回 TRUE，否则返回 FALSE。

Note:

若想测试一个变量是否是数字或数字字符串（如表单输入，它们通常为字符串），必须使用 is_numeric()。

检测变量是否为 NULL bool is_null ( mixed $var )如果 var 是 null 则返回 TRUE，否则返回 FALSE。

文件名是否可读 bool is_readable ( string $filename )判断给定文件名是否存在并且可读。如果由 filename 指定的文件或目录存在并且可读则返回 TRUE，否则返回 FALSE。

文件名是否可写 bool is_writable ( string $filename )如果文件存在并且可写则返回 TRUE。filename 参数可以是一个允许进行是否可写检查的目录名。

检查文件或目录是否存在 bool file_exists ( string $filename )检查文件或目录是否存在。在 Windows 中要用 //computername/share/filename 或者 \computername\share\filename 来检查网络中的共享文件。如果由 filename 指定的文件或目录存在则返回 TRUE，否则返回 FALSE。

文件名是否可执行 bool is_executable ( string $filename )判断给定文件名是否可执行。如果文件存在且可执行则返回 TRUE，错误时返回FALSE。

更多关于PHP相关内容感兴趣的读者可查看本站专题：《》、《》、《》、《》、《》、《》、《》及《》

希望本文所述对大家 PHP程序设计有所帮助。

PHP 数据数据数据表单提交防SQL注入验证验证验证

vue+thinkphp5实现微信扫码支付(NATIVE支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返...