不要相信外部源

  • $_GET
  • $_POST
  • $_REQUEST
  • $_COOKIE
  • $argv
  • php://stdin
  • php://input
  • file_get_contents()
  • 远程数据库
  • 远程api
  • 来自客户端的数据

htmlentities

  

 1 <?php

 2 $input = '<p><script>alert("You won the Nigerian lottery!");</script></p>';

 3 echo htmlentities($input, ENT_QUOTES, 'UTF-8').PHP_EOL;

 4 // &lt;p&gt;&lt;script&gt;alert(&quot;You won the Nigerian lottery!&quot;);&lt;/script&gt;&lt;/p&gt;

 5

 6 $email = 'john介样子@example.com';

 7 $emailSafe = filter_var($email, FILTER_SANITIZE_EMAIL);

 8 echo $emailSafe.PHP_EOL;

 9 // john@example.com

10

11 $string = "\ni18n说的话\t";

12 $safeString = filter_var(

13     $string,

14     FILTER_SANITIZE_STRING,

15     FILTER_FLAG_STRIP_LOW | FILTER_FLAG_ENCODE_HIGH

16 );

17 echo $safeString.PHP_EOL;

18 // i18n说的话

19

20 // 转义输出

21 $output = '<p><script>alert("NSA backdoor installed")</script></p>';

22 echo htmlentities($output, ENT_QUOTES, 'UTF-8').PHP_EOL;

23 // &lt;p&gt;&lt;script&gt;alert(&quot;NSA backdoor installed&quot;)&lt;/script&gt;&lt;/p&gt;

  

htmlpurifier

模板引擎
  

一些加密函数

md5, sha1, bcrypt, scrypt

* 注册用户

POST /register.php HTTP/1.1

Content-Length: 43

Content-Type: application/x-www-form-urlencoded

email=john@example.com&password=sekritshhh!

<?php

/**

 * Created by PhpStorm.

 * User: Mch

 * Date: 7/17/18

 * Time: 22:47

 */

try {

    // 验证电子邮箱地址

    $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

    if (!$email) {

        throw new Exception('Invalid email');

    }

    // 验证密码

    $password = filter_input(INPUT_POST, 'password');

    if (!$password || mb_strlen($password) < 8) {

        throw new Exception('Password must contain 8+ characters');

    }

    // 创建密码的hash

    $passwordHash = password_hash($password, PASSWORD_DEFAULT, ['cost'=>12]);

    if ($passwordHash === false) {

        throw new Exception('Password hash failed');

    }

    // 创建用户账户(pseudo code)

    $user = new User();

    $user->email = $email;

    $user->pasword_hash = $passwordHash;

    $user->save();

    // 重定向到登录页面

    header('HTTP/1.1 302 Redirect');

    header('Location: /login.php');

} catch (Exception $e) {

    // 报告错误

    header('HTTP/1.1 400 Bad request');

    echo $e->getMessage();

}

register.php

 1 <?php

 2 /**

 3  * POST /login.php HTTP/1.1

 4  * Content-Length: 43

 5  * Content-Type: application/x-www-form-urlencoded

 6  *

 7  * email=john@example.com&password=sekritshhh!

 8  */

 9 session_start();

10

11 try {

12     $email = filter_input(INPUT_POST, 'email');

13     $password = filter_input(INPUT_POST, 'password');

14

15     // (pseudo code)

16     $user = User::findByEmail($email);

17     // 如果需要, 重新计算密码的hash值

18     if (password_verify($password, $user->password_hash)===false) {

19         throw new Exception('Invalid password');

20     }

21

22     // 如果需要, 重新计算密码的hash值

23     $currentHashAlgorithm = PASSWORD_DEFAULT;

24     $currentHashOptions = ['cost' => 15];

25     $passwordNeedsRehash = password_needs_rehash(

26         $user->password_hash,

27         $currentHashAlgorithm,

28         $currentHashOptions

29     );

30     if ($passwordNeedsRehash === true) {

31         // 保存新计算得到的密码hash值 (pseudo code)

32         $user->password_hash = password_hash(

33             $password,

34             $currentHashAlgorithm,

35             $currentHashOptions

36         );

37         $user->save();

38     }

39     $_SESSION['user_logged_in'] = 'yes';

40     $_SESSION['user_email'] = $email;

41

42     // redirect

43     header('HTTP/1.1 302 Redirect');

44     header('Location: /user-profile.php');

45

46 } catch (Exception $e) {

47     header('HTTP/1.1 401 Unauthorized');

48     echo $e->getMessage();

49 }

login.php

emoji

php安全 过滤、验证、转义的更多相关文章

  1. ueditor的过滤、转义、格式丢失问题

    1. 过滤 http://www.cnblogs.com/Olive116/p/3464495.html 2. 转义 http://segmentfault.com/q/101000000048928 ...

  2. php 自带过滤和转义函数

    函数名 释义 介绍 htmlspecialchars 将与.单双引号.大于和小于号化成HTML格式 &转成&"转成"' 转成'<转成<>转成> ...

  3. 过滤器(Filter)对登陆页面进行过滤验证

    import javax.servlet.*;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServl ...

  4. mysql in 过滤 解决转义问题

    IF(headUser!='',instr(concat(',',headUser,','),concat(',',cr.headUser,',')),TRUE);

  5. 【快学SpringBoot】过滤XSS脚本攻击(包括json格式)

    若图片查看异常,请前往掘金查看:https://juejin.im/post/5d079e555188251ad81a28d9 XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cas ...

  6. Yii CModel中rules验证规则[转]

    array( array(‘username’, ‘required’), array(‘username’, ‘length’, ‘min’=>3, ‘max’=>12), array( ...

  7. Yii CModel中rules验证规则

    array( array(‘username’, ‘required’), array(‘username’, ‘length’, ‘min’=>3, ‘max’=>12), array( ...

  8. YII中表单验证

    关于表单的验证有三种: 1.yii的客户端验证 2.yii的服务器端验证 3.yii的ajax验证 例如: 1.在表单对应的模型中定义一个rules方法(该方添加后,在表单提交时,将自动被调用) pu ...

  9. ASP.NET Web API编程——模型验证与绑定

    1.模型验证 使用特性约束模型属性 可以使用System.ComponentModel.DataAnnotations提供的特性来限制模型. 例如,Required特性表示字段值不能为空,Range特 ...

  10. Yii正则验证

    required : 必须值验证属性 [['字段名'],required,'requiredValue'=>'必填值','message'=>'提示信息']; #说明:CRequiredV ...

随机推荐

  1. 008 PHY(Physical Layer,PHY)

    一.PHY PHY((Physical Layer,PHY))是IEEE802.3中定义的一个标准模块,STA(station management entity,管理实体,一般为MAC或CPU)通过 ...

  2. Linux搭建VNC servere服务

    此安装方法只适用于centos7以上的版本 一,安装 以root用户运行以下命令来安装vncserver; yum install tigervnc-server  同样运行以下命令来安装vncvie ...

  3. Windows内核基础知识-2-段描述符

    Windows内核基础知识-2-段描述符 比如: ES 002B 0(FFFFFFFF) 意思就是es段寄存器,段选择子/段选择符 为002B, 起始地址base为0, 限制范围Limit地址最大能寻 ...

  4. 题解 Dove 打扑克

    传送门 考场上觉得复杂度是假的就没怎么优化,然后考完题解帮我证明了它是真的-- 首先合并可以用并查集维护,可以顺便维护出集合的大小 对于操作2,发现如果 \(size_i\) 是确定的,可以用权值线段 ...

  5. Nginx 真实的 IP

    配置 Nginx 如果你的 Java 项目使用了 Nginx 代理,那么还需要进行以下配置,才能顺利获取到真实的 IP,否则只能获取到 127.0.0.1. 在 Nginx 的配置文件里,找到你 Ja ...

  6. webGis概念

    参考:https://blog.csdn.net/qq_36375770/article/details/80077533 参考:https://blog.csdn.net/BuquTianya/ar ...

  7. sizeof()和 strlen()的区别 --- 个人笔记

    在学习C语言和linux的时候,遇到了一些常见问题.题目,有些很简单,有些容易出错,本人水平有限,未免会出错,今天有时间,就将以前做的笔记,一一拿出来,写写blog. sizeof()和 strlen ...

  8. IO异常--缓冲流--转换流--序列化流( IO流2 )

    1.IO异常的处理 JDK7前处理:使用try...catch...finally 代码块,处理异常部分 // 声明变量 FileWriter fw = null; try { //创建流对象 fw ...

  9. EL表达式学习(二)

    1.从特定域中获取值: 2.从请求页面的input标签中,获取值:(同servlet中的getParameter和getParameterValues): 3.获取请求头(同servlet中的getH ...

  10. CentOS7中apache的部署与配置

    一.apache的部署 输入命令 yum list | grep httpd 查看可安装的软件包,选择"httpd.x86_64"安装. 输入命令 yum install http ...