PHP如何对输入数据过滤 php过滤字符

php中如何过滤用户的输入麻烦告诉我

可以采用以下几点措施。

十余年的蕉岭网站建设经验，针对设计、前端、开发、售后、文案、推广等六对一服务，响应快，48小时及时工作处理。营销型网站建设的优势是能够根据用户设备显示端的尺寸不同，自动调整蕉岭建站的显示方式，使网站能够适用不同显示终端，在浏览器中调整网站的宽度，无论在任何一种浏览器上浏览网站，都能展现优雅布局与设计，从而大程度地提升浏览体验。创新互联建站从事“蕉岭网站设计”,“蕉岭网站推广”以来，每个客户项目都认真落实执行。

（1）在用户数据进入数据库之前使用addslashes()函数过滤，可以进行一些字符的转义，并过滤掉可能引起数据库问题的字符。可以使用stripslashes()将数据返回到原始形式。

（2）在php.infi中开启magic_quotes_gpc和magic_quotes_runtime指令。它们可以自动的添加和过滤斜杠，前者主要用于格式化GET，POST，和cookie变量，后者用于过滤进出数据库的数据。

（3）当在system()或者exex()函数中使用用户输入数据作为参数时，必须使用escapeshellcmd()。用来避免怀有恶意的用户强迫系统运行某些命令。

（4）可以使用stip_tags()从一个字符串中去掉HTML和PHP标记，这样可以避免用户将恶意节本植入到用户的数据中。

（5）可以使用htmlspecialchars()，可以将字符专程它们的HTML等价实体。例如，将被转换成lt; ,该函数可以将任何脚本转换成无害的字符。

总之，在使用用户的数据时，一定要小心，原则即是不要相信用户输入的任何数据，必须要进行过滤和转换。

php中数据过滤的问题

我来解释一下吧

preg_replace('/[\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F]/','',$string);

去掉控制字符，你google一下ascii table就知道了，php里面 - 代表范围，比如\x00-\x08指的是ASCII代码在\x00到\x08范围的字符，\x0A和\x0D代表回车换行，所以没包含在这个里面，否则直接\x00-\x1F了，

$string = str_replace(array("\0","%00","\r"),'',$string);

\0表示ASCII 0x00的字符，通常作为字符串结束标志

$string = preg_replace("/(?!(#[0-9]+|[a-z]+);)/si",'',$string);

我们知道HTML里面可以用xx;来对一些字符进行编码，比如 (空格), ߷ Unicode字符等，A(?!B) 表示的是A后面不是B,所以作者想保留 ߷类似的 HTML编码字符，去掉其他的问题字符，比如 123; nbsp;

str_replace(array("%3C",''),'',$string);

第一个''多余吧，%3C是编码以后的 , 一般用在URL编码里

str_replace(array("%3E",''),'',$string);

str_replace(array('"',"'","\t",' '),array('"',"'",'',''),$string);

略过

有问题再追问

PHP如何做好最基础的安全防范

PHP如何做好最基础的安全防范

php给了开发者极大的灵活性，但是这也为安全问题带来了潜在的隐患，PHP如何做好最基础的安全防范呢？下面我为大家解答一下，希望能帮到您！

当开发一个互联网服务的时候，必须时刻牢记安全观念，并在开发的代码中体现。PHP脚本语言对安全问题并不关心，特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时，需要特别注意安全问题的考虑，例如开发一个论坛或者是一个购物车等。

　 　安全保护一般性要点

不相信表单

对于一般的Javascript前台验证，由于无法得知用户的行为，例如关闭了浏览器的javascript引擎，这样通过POST恶意数据到服务器。需要在服务器端进行验证，对每个php脚本验证传递到的数据，防止XSS攻击和SQL注入。

不相信用户

要假设你的网站接收的每一条数据都是存在恶意代码的，存在隐藏的威胁，要对每一条数据都进行清理

　 　关闭全局变量

在php.ini文件中进行以下配置：

register_globals = Off

如果这个配置选项打开之后，会出现很大的安全隐患。例如有一个process.php的脚本文件，会将接收到的数据插入到数据库，接收用户输入数据的表单可能如下：

input name="username" type ="text" size = "15" maxlength = "64"

这样，当提交数据到process.php之后，php会注册一个$username变量，将这个变量数据提交到process.php，同时对于任何POST或GET请求参数，都会设置这样的变量。如果不是显示进行初始化那么就会出现下面的问题：

?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

}

?

此处，假设authenticated_user函数就是判断$authorized变量的值，如果开启了register_globals配置，那么任何用户都可以发送一个请求，来设置$authorized变量的值为任意值从而就能绕过这个验证。所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量，默认的顺序是$_COOKIE、$_POST、$_GET。

推荐的安全配置选项

error_reporting设置为Off：不要暴露错误信息给用户，开发的时候可以设置为ON

safe_mode设置为Off

register_globals设置为Off

将以下函数禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为 /tmp ，这样可以让session信息有存储权限，同时设置单独的网站根目录expose_php设置为Offallow_url_fopen设置为Offallow_url_include设置为Off

SQL注入攻击

对于操作数据库的SQL语句，需要特别注意安全性，因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子：

$sql ="select * from pinfo where product = '$product'";

此时如果用户输入的$product参数为：'39'; DROP pinfo; SELECT 'FOO

那么最终SQL语句就变成了如下的`样子：

select product from pinfo where product = '39';

DROP pinfo;

SELECT 'FOO'

这样就会变成三条SQL语句，会造成pinfo表被删除，这样会造成严重的后果。这个问题可以简单的使用PHP的内置函数解决：

$sql = 'Select * from pinfo where product = '"' mysql_real_escape_string($product) . '"';

防止SQL注入攻击需要做好两件事：对输入的参数总是进行类型验证对单引号、双引号、反引号等特殊字符总是使用mysql_real_escape_string函数进行转义但是，这里根据开发经验，不要开启php的Magic Quotes，这个特性在php6中已经废除，总是自己在需要的时候进行转义。

防止基本的XSS攻击

XSS攻击不像其他攻击，这种攻击在客户端进行，最基本的XSS工具就是防止一段javascript脚本在用户待提交的表单页面，将用户提交的数据和cookie偷取过来。XSS工具比SQL注入更加难以防护，各大公司网站都被XSS攻击过，虽然这种攻击与php语言无关，但可以使用php来筛选用户数据达到保护用户数据的目的，这里主要使用的是对用户的数据进行过滤，一般过滤掉HTML标签，特别是a标签。下面是一个普通的过滤方法：

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

$string = utf8_decode( $string );

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length 0) {

$string = substr ( $string , 0, $length );

}return $string ;

}

这个函数将HTML的特殊字符转换为了HTML实体，浏览器在渲染这段文本的时候以纯文本形式显示。如bold会被显示为： BoldText 上述函数的核心就是htmlentities函数，这个函数将html特殊标签转换为html实体字符，这样可以过滤大部分的XSS攻击。但是对于有经验的XSS攻击者，有更加巧妙的办法进行攻击：将他们的恶意代码使用十六进制或者utf-8编码，而不是普通的ASCII文本，例如可以使用下面的方式进行：

　 　这样浏览器渲染的结果其实是：

a href = ""

SCRIPT Dosomethingmalicious

这样就达到了攻击的目的。为了防止这种情况，需要在transform_HTML函数的基础上再将#和%转换为他们对应的实体符号，同时加上了$length参数来限制提交的数据的最大长度。

　 　使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护非常简单，但是不包含用户的所有标记，同时有上百种绕过过滤函数提交javascript代码的方法，也没有办法能完全阻止这个情况。目前，没有一个单一的脚本能保证不被攻击突破，但是总有相对来说防护程度更好的。一共有两个安全防护的方式：白名单和黑名单。其中白名单更加简单和有效。一种白名单解决方案就是SafeHTML，它足够智能能够识别有效的HTML，然后就可以去除任何危险的标签。这个需要基于HTMLSax包来进行解析。安装使用SafeHTML的方法：

1、前往 下载最新的SafeHTML

2、将文件放入服务器的classes 目录，这个目录包含所有的SafeHTML和HTMLSax库

3、在自己的脚本中包含SafeHTML类文件

4、建立一个SafeHTML对象

5、使用parse方法进行过滤

?php/* If you're storing the HTMLSax3.php in the /classes directory, along

with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, '' );// Include the class file.require_once ( 'classes/safehtml.php' );

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml -parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

?

SafeHTML并不能完全防止XSS攻击，只是一个相对复杂的脚本来检验的方式。

使用单向HASH加密方式来保护数据

单向hash加密保证对每个用户的密码都是唯一的，而且不能被破译的，只有最终用户知道密码，系统也是不知道原始密码的。这样的一个好处是在系统被攻击后攻击者也无法知道原始密码数据。加密和Hash是不同的两个过程。与加密不同，Hash是无法被解密的，是单向的；同时两个不同的字符串可能会得到同一个hash值，并不能保证hash值的唯一性。MD5函数处理过的hash值基本不能被破解，但是总是有可能性的，而且网上也有MD5的hash字典。

使用mcrypt加密数据MD5 hash函数可以在可读的表单中显示数据，但是对于存储用户的信用卡信息的时候，需要进行加密处理后存储，并且需要之后进行解密。最好的方法是使用mcrypt模块，这个模块包含了超过30中加密方式来保证只有加密者才能解密数据。

?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

$cipher = "MCRYPT_SERPENT_256" $mode = "MCRYPT_MODE_CBC" ;function encrypt( $data, $key , cipher , $mode ) {// Encrypt datareturn (string) base64_encode ( mcrypt_encrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), $data , $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) ) );

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

return (string) mcrypt_decrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), base64_decode ( $data ), $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) );

}?

mcrypt函数需要以下信息：

1、待加密数据

2、用来加密和解密数据的key

3、用户选择的加密数据的特定算法（cipher：

如 MCRYPT_TWOFISH192

,MCRYPT_SERPENT_256， MCRYPT_RC2

, MCRYPT_DES

, and MCRYPT_LOKI97

）

4、用来加密的模式

5、加密的种子，用来起始加密过程的数据，是一个额外的二进制数据用来初始化加密算法

6、加密key和种子的长度，使用mcrypt_get_key_size函数和mcrypt_get_block_size函数可以获取如果数据和key都被盗取，那么攻击者可以遍历ciphers寻找开行的方式即可，因此我们需要将加密的key进行MD5一次后保证安全性。同时由于mcrypt函数返回的加密数据是一个二进制数据，这样保存到数据库字段中会引起其他错误，使用了base64encode将这些数据转换为了十六进制数方便保存。

;

如何正确运用PHP filter判断过滤数据

PHP 5.2以及更高的版本，PHP filter被绑定于系统，它可以对数据进行自动的过滤和判断。 第一种、PHP filter判断一个变量的内容是否符合要求 使用函数filter_var，第一个参数是要判断的变量。第二个参数是判断的要求，FILTER_VALIDATE_EMAIL表示判断是否符合email格式。如果变量是类似’boy@163.com’的数据，系统就会完整的输出‘boy@163.com’。如果是错误的格式，比如’boy’，就会输出false。如果没有填写表单中的email字段，系统输出空字符串。$email=‘boy@163.com’; echofilter_var($email, FILTER_VALIDATE_EMAIL); 第二种、PHP filter根据要求过滤一个变量的内容 和上面唯一的不同是第二个参数使用FILTER_SANITIZE_EMAIL，输出的结果会不同。如果变量是类似’boy@163.com’的数据，系统就会完整的输出’boy@163.com’。如果是错误的格式，比如’boy-afds3′，只要是数字和字母和划线等email格式中可以出现的内容，系统同样会完整的输出’boy-afds3′。如果变量没有设置内容，系统输出空字符串。如果是’boy阿三’，系统会把email格式中不允许的东西去除，输出’boy’。$email=‘boy@163.com’; echofilter_var($email, FILTER_SANITIZE_EMAIL); 第三种、PHP filter判断输入的变量的内容是否符合要求 使用函数filter_input。第一个参数表示从那里获得的数据，INPUT_POST表示通过POST方法传递过来，还可以使用INPUT_GET, INPUT_COOKIE, INPUT_SERVER, INPUT_ENV，代表相应的途径。第二个参数就是数据的名称。第三个参数代表过滤的要求，FILTER_VALIDATE_EMAIL表示判断数据是否符合email格式。 假设通过表单的POST过来的一个字段email。如果是类似 ’boy@163.com’ 的数据，系统就会完整的输出’boy@163.com’。如果是错误的格式，比如’boy’，就会输出false。如果没有填写表单中的email字段，系统输出null，也就是空。 echofilter_input(INPUT_POST, ‘email’,FILTER_VALIDATE_EMAIL); 第四种、PHP filter根据要求过滤输入的变量的内容 和上面唯一的不同是第二个参数使用FILTER_SANITIZE_EMAIL，输出的结果会不同。假设通过表单的POST过来的一个字段email。 如果是类似’boy@163.com’的数据，系统就会完整的输出’boy@163.com’。如果是错误的格式，比如’boy-afds3′，只要是数字和字母和划线等email格式中可以出现的内容，系统同样会完整的输出’boy-afds3′。如果没有填写表单中的email字段，系统输出null，也就是空。如果是’boy阿三’源码天空 ，系统会把email格式中不允许的东西去除，输出’boy’。 echofilter_input (INPUT_POST,‘email’,

PHP数据过滤的几种方式

调度方法

这种方法是用一个单一的 php 脚本调度（通过 URL）。其他任何操作在必要的时候使用include或require包含进来。这种方法一般需要每个 URL 都传递一个单独的GET变量用于调度。这个GET变量可以被认为是用来替代脚本名称的更加简化的设计。

PHP流（Stream）的概述与使用详解

在现代 PHP 特性中，流或许是最出色但使用率最低的。虽然 PHP 4.3 就引入了流，但是很多开发者并不知道流的存在，因为人们很少提及流，而且流的文档也很匮乏。PHP 官方文档对流的解释如下：

可能看完这段解释后还是云里雾里，我们简化一下，流的作用是在出发地和目的地之间传输数据。出发地和目的地可以是文件、命令行进程、网络连接、ZIP 或 TAR 压缩文件、临时内存、标准输入或输出，或者是通过 PHP 流封装协议实现的任何其他资源。

如果你读写过文件，就用过流；如果你从 php://stdin 读取过数据，或者把输入写入 php://stdout ，也用过流。流为 PHP 的很多 IO 函数提供了底层实现，如 file_get_contents、fopn、fread 和 fwrite 等。PHP 的流函数提供了不同资源的统一接口。

我们可以把流比作管道，把水（资源数据）从一个地方引到另一个地方。在水从出发地到目的地的过程中，我们可以过滤水，可以改变水质，可以添加水，也可以排出水。

流式数据的种类各异，每种类型需要独特的协议，以便读写数据，我们称这些协议为 流封装协议 。例如，我们可以读写文件系统，可以通过 HTTP、HTTPS 或 SSH 与远程 Web 服务器通信，还可以打开并读写 ZIP、RAR 或 PHAR 压缩文件。这些通信方式都包含下述相同的过程：

1.开始通信

2.读取数据

3.写入数据

4.结束通信

虽然过程是一样的，但是读写文件系统中文件的方式与收发 HTTP 消息的方式有所不同，流封装协议的作用是使用通用的接口封装这种差异。

每个流都有一个协议和一个目标。指定协议和目标的方法是使用流标识符：scheme://target，其中 scheme 是流的封装协议，target 是流的数据源。

http://流封装协议

下面使用 HTTP 流封装协议创建了一个与 Flicker API 通信的 PHP 流：

不要以为这是普通的网页 URL，file_get_contents() 函数的字符串参数其实是一个流标识符。http 协议会让 PHP 使用 HTTP 流封装协议，在这个参数中，http 之后是流的目标。

我们通常使用 file_get_contents()、fopen()、fwrite() 和 fclose() 等函数读写文件系统，因为 PHP 默认使用的流封装协议是 file://，所以我们很少认为这些函数使用的是 PHP 流。下面的示例演示了使用 file:// 流封装协议创建一个读写 /etc/hosts 文件的流：

我们通常会省略掉 file:// 协议，因为这是 PHP 使用的默认值。

php://流封装协议

编写命令行脚本的 PHP 开发者会感激 php:// 流封装协议，这个流封装协议的作用是与 PHP 脚本的标准输入、标准输出和标准错误文件描述符通信。我们可以使用 PHP 提供的文件系统函数打开、读取或写入下面四个流：

1. php://stdin ：这是个只读 PHP 流，其中的数据来自标准输入。PHP 脚本可以使用这个流接收命令行传入脚本的信息；

2. php://stdout ：把数据写入当前的输出缓冲区，这个流只能写，无法读或寻址；

3. php://memory ：从系统内存中读取数据，或者把数据写入系统内存。缺点是系统内存有限，所有使用 php://temp 更安全；

4. php://temp ：和 php://memory 类似，不过，没有可用内存时，PHP 会把数据写入这个临时文件。

其他流封装协议

PHP 和 PHP 扩展还提供了很多其他流封装协议，例如，与 ZIP 和 TAR 压缩文件、FTP 服务器、数据压缩库、Amazon API、Dropbox API 等通信的流封装协议。需要注意的是，PHP 中的 fopen()、fgets()、fputs()、feof() 以及 fclose() 等函数不仅可以用来处理文件系统中的文件，还可以在所有支持这些函数的流封装协议中使用。

自定义流封装协议

我们还可以自己编写 PHP 流封装协议。PHP 提供了一个示例 StreamWrapper 类，演示如何编写自定义的流封装协议，支持部分或全部 PHP 文件系统函数。关于如何编写，具体请参考以下文档：

有些 PHP 流能够接受一系列可选的参数，这些参数叫流上下文，用于定制流的行为。不同的流封装协议使用的流上下文有所不同，流上下文使用 stream_context_create() 函数创建，这个函数返回的上下文对象可以传入大多数文件系统函数。

例如，你知道可以使用 file_get_contents() 发送 HTTP POST 请求吗？使用一个流上下文对象即可实现：

流过滤器

目前为止我们讨论了如何打开流，读取流中的数据，以及把数据写入流。不过，PHP 流真正强大的地方在于过滤、转换、添加或删除流中传输的数据，例如，我们可以打开一个流处理 Markdown 文件，在把文件内容读入内存的过程中自动将其转化为 HTML。

运行该脚本，输出的都是大写字母：

我们还可以使用 php://filter 流封装协议把过滤器附加到流上，不过，使用这种方式之前必须先打开 PHP 流：

这个方式实现效果和 stream_filter_append() 函数一样，但是相比之下更为繁琐。不过，PHP 的某些文件系统函数在调用后无法附加过滤器，例如 file() 和 fpassthru()，使用这些函数时只能使用 php://filter 流封装协议附加流过滤器。

自定义流过滤器

我们还可以编写自定义的流过滤器。其实，大多数情况下都要使用自定义的流过滤器，自定义的流过滤器是个 PHP 类，继承内置的 php_user_filter 类（ ），且必须实现 filter()、onCreate() 和 onClose() 方法，最后，必须使用 stream_filter_register() 函数注册自定义的流过滤器。

然后，我们必须使用 stream_filter_register() 函数注册这个自定义的 DirtyWordsFilter 流过滤器：

第一个参数用于标识这个自定义过滤器的过滤器名，第二个参数是这个自定义过滤器的类名。接下来就可以使用这个自定义的流过滤器了：

修改 test.txt 内容如下：

运行上面的自定义过滤器脚本，结果如下：

stream_bucket_append函数：为队列添加数据　

stream_bucket_make_writeable函数：从操作的队列中返回一个数据对象

stream_bucket_new函数：为当前队列创建一个新的数据

stream_bucket_prepend函数：预备数据到队列　

stream_context_create函数：创建数据流上下文

stream_context_get_default函数：获取默认的数据流上下文

stream_context_get_options函数：获取数据流的设置

stream_context_set_option函数：对数据流、数据包或者上下文进行设置

stream_context_set_params函数：为数据流、数据包或者上下文设置参数

stream_copy_to_stream函数：在数据流之间进行复制操作

stream_filter_append函数：为数据流添加过滤器

stream_filter_prepend函数：为数据流预备添加过滤器

stream_filter_register函数：注册一个数据流的过滤器并作为PHP类执行

stream_filter_remove函数：从一个数据流中移除过滤器

stream_get_contents函数：读取数据流中的剩余数据到字符串

stream_get_filters函数：返回已经注册的数据流过滤器列表

stream_get_line函数：按照给定的定界符从数据流资源中获取行

stream_get_meta_data函数：从封装协议文件指针中获取报头/元数据

stream_get_transports函数：返回注册的Socket传输列表

stream_get_wrappers函数：返回注册的数据流列表

stream_register_wrapper函数：注册一个用PHP类实现的URL封装协议

stream_select函数：接收数据流数组并等待它们状态的改变

stream_set_blocking函数：将一个数据流设置为堵塞或者非堵塞状态

stream_set_timeout函数：对数据流进行超时设置

stream_set_write_buffer函数：为数据流设置缓冲区

stream_socket_accept函数：接受由函数stream_ socket_server()创建的Socket连接

stream_socket_client函数：打开网络或者UNIX主机的Socket连接

stream_socket_enable_crypto函数：为一个已经连接的Socket打开或者关闭数据加密

stream_socket_get_name函数：获取本地或者网络Socket的名称

stream_socket_pair函数：创建两个无区别的Socket数据流连接

stream_socket_recvfrom函数：从Socket获取数据，不管其连接与否

stream_socket_sendto函数：向Socket发送数据，不管其连接与否

stream_socket_server函数：创建一个网络或者UNIX Socket服务端

stream_wrapper_restore函数：恢复一个事先注销的数据包

stream_wrapper_unregister函数：注销一个URL地址包

整合资料

本文整合于以下两篇文章