在PHP編程中,處理用戶輸入數(shù)據(jù)是非常重要的。在輸入數(shù)據(jù)驗(yàn)證、數(shù)據(jù)清洗等方面,PHP提供了豐富的函數(shù)來(lái)保障安全性。其中一個(gè)非常常用的函數(shù)就是cleaninput。該函數(shù)主要用于過濾和清除用戶輸入的數(shù)據(jù)和特殊字符,有效避免了SQL注入、跨站腳本攻擊等安全問題。
cleaninput函數(shù)的使用方法如下:]*?>.*?@si:過濾script標(biāo)簽中所有內(nèi)容;
2. @<[\/\!]*?[^<>]*?>@si:過濾HTML標(biāo)簽;
3. @<.*?(\s?style\s*=[ ]*".+?")(?=(\s|>\z))[^>]*?>@si:過濾style屬性;
4. @<.*?(\s?on[a-zA-Z]{3,}\s*=[ ]*".+?")(?=(\s|>\z))[^>]*?>@si:過濾on事件;
5. @([\r\n])[\s]+@:過濾空白字符和換行符;
6. @&(quot|#34);@i:過濾引號(hào);
7. @&(amp|#38);@i:過濾&符號(hào);
8. @&(lt|#60);@i:過濾小于號(hào);
9. @&(gt|#62);@i:過濾大于號(hào)。
該函數(shù)的使用非常簡(jiǎn)單,只需要將需要過濾的字符串作為參數(shù)傳入即可。例如:
function cleaninput($input) {
$search = array(
'@]*?>.*?@si', //過濾腳本
'@<[\/\!]*?[^<>]*?>@si', //過濾HTML標(biāo)簽
'@<.*?(\s?style\s*=[ ]*".+?")(?=(\s|>\z))[^>]*?>@si', //過濾style屬性
'@<.*?(\s?on[a-zA-Z]{3,}\s*=[ ]*".+?")(?=(\s|>\z))[^>]*?>@si', //過濾on事件
'@([\r\n])[\s]+@', //過濾空白字符和換行符
'@&(quot|#34);@i', //過濾引號(hào)
'@&(amp|#38);@i', //過濾&符號(hào)
'@&(lt|#60);@i', //過濾小于號(hào)
'@&(gt|#62);@i' //過濾大于號(hào)
);
$replace = array(
'', '', '', '', '', '\"', '&', '<', '>'
);
$input = preg_replace($search, $replace, $input);
return $input;
} 以上代碼在函數(shù)里定義了一個(gè)包含多個(gè)正則表達(dá)式規(guī)則的數(shù)組search,這些規(guī)則主要用于過濾和清除用戶輸入的數(shù)據(jù)。具體過濾規(guī)則如下:
1. @$input = cleaninput($_POST['name']);當(dāng)我們將一個(gè)包含HTML標(biāo)記、JS腳本、嘗試SQL注入的字符串作為參數(shù),經(jīng)過cleaninput函數(shù)處理后,返回的數(shù)據(jù)將被清除掉敏感信息和特殊字符,保障了程序的安全性和健壯性。 總的來(lái)說,cleaninput函數(shù)是一個(gè)非常強(qiáng)大的函數(shù),它可以幫助開發(fā)人員在處理用戶的輸入數(shù)據(jù)時(shí)有效預(yù)防安全問題,讓你的程序更加健壯和安全。不過,在使用cleaninput函數(shù)時(shí)需要注意,我們不應(yīng)該依賴它來(lái)解決所有安全問題,還需要在開發(fā)過程中寫好嚴(yán)格的驗(yàn)證代碼,并嘗試使用更高級(jí)的技術(shù)來(lái)防御攻擊,如防火墻和代碼簽名等。
上一篇php cleanurl
下一篇css3 多層邊框