不要相信外部源

  • $_GET
  • $_POST
  • $_REQUEST
  • $_COOKIE
  • $argv
  • php://stdin
  • php://input
  • file_get_contents()
  • 远程数据库
  • 远程api
  • 来自客户端的数据

htmlentities

  

 1 <?php

 2 $input = '<p><script>alert("You won the Nigerian lottery!");</script></p>';

 3 echo htmlentities($input, ENT_QUOTES, 'UTF-8').PHP_EOL;

 4 // &lt;p&gt;&lt;script&gt;alert(&quot;You won the Nigerian lottery!&quot;);&lt;/script&gt;&lt;/p&gt;

 5

 6 $email = 'john介样子@example.com';

 7 $emailSafe = filter_var($email, FILTER_SANITIZE_EMAIL);

 8 echo $emailSafe.PHP_EOL;

 9 // john@example.com

10

11 $string = "\ni18n说的话\t";

12 $safeString = filter_var(

13     $string,

14     FILTER_SANITIZE_STRING,

15     FILTER_FLAG_STRIP_LOW | FILTER_FLAG_ENCODE_HIGH

16 );

17 echo $safeString.PHP_EOL;

18 // i18n说的话

19

20 // 转义输出

21 $output = '<p><script>alert("NSA backdoor installed")</script></p>';

22 echo htmlentities($output, ENT_QUOTES, 'UTF-8').PHP_EOL;

23 // &lt;p&gt;&lt;script&gt;alert(&quot;NSA backdoor installed&quot;)&lt;/script&gt;&lt;/p&gt;

  

htmlpurifier

模板引擎
  

一些加密函数

md5, sha1, bcrypt, scrypt

* 注册用户

POST /register.php HTTP/1.1

Content-Length: 43

Content-Type: application/x-www-form-urlencoded

email=john@example.com&password=sekritshhh!

<?php

/**

 * Created by PhpStorm.

 * User: Mch

 * Date: 7/17/18

 * Time: 22:47

 */

try {

    // 验证电子邮箱地址

    $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

    if (!$email) {

        throw new Exception('Invalid email');

    }

    // 验证密码

    $password = filter_input(INPUT_POST, 'password');

    if (!$password || mb_strlen($password) < 8) {

        throw new Exception('Password must contain 8+ characters');

    }

    // 创建密码的hash

    $passwordHash = password_hash($password, PASSWORD_DEFAULT, ['cost'=>12]);

    if ($passwordHash === false) {

        throw new Exception('Password hash failed');

    }

    // 创建用户账户(pseudo code)

    $user = new User();

    $user->email = $email;

    $user->pasword_hash = $passwordHash;

    $user->save();

    // 重定向到登录页面

    header('HTTP/1.1 302 Redirect');

    header('Location: /login.php');

} catch (Exception $e) {

    // 报告错误

    header('HTTP/1.1 400 Bad request');

    echo $e->getMessage();

}

register.php

 1 <?php

 2 /**

 3  * POST /login.php HTTP/1.1

 4  * Content-Length: 43

 5  * Content-Type: application/x-www-form-urlencoded

 6  *

 7  * email=john@example.com&password=sekritshhh!

 8  */

 9 session_start();

10

11 try {

12     $email = filter_input(INPUT_POST, 'email');

13     $password = filter_input(INPUT_POST, 'password');

14

15     // (pseudo code)

16     $user = User::findByEmail($email);

17     // 如果需要, 重新计算密码的hash值

18     if (password_verify($password, $user->password_hash)===false) {

19         throw new Exception('Invalid password');

20     }

21

22     // 如果需要, 重新计算密码的hash值

23     $currentHashAlgorithm = PASSWORD_DEFAULT;

24     $currentHashOptions = ['cost' => 15];

25     $passwordNeedsRehash = password_needs_rehash(

26         $user->password_hash,

27         $currentHashAlgorithm,

28         $currentHashOptions

29     );

30     if ($passwordNeedsRehash === true) {

31         // 保存新计算得到的密码hash值 (pseudo code)

32         $user->password_hash = password_hash(

33             $password,

34             $currentHashAlgorithm,

35             $currentHashOptions

36         );

37         $user->save();

38     }

39     $_SESSION['user_logged_in'] = 'yes';

40     $_SESSION['user_email'] = $email;

41

42     // redirect

43     header('HTTP/1.1 302 Redirect');

44     header('Location: /user-profile.php');

45

46 } catch (Exception $e) {

47     header('HTTP/1.1 401 Unauthorized');

48     echo $e->getMessage();

49 }

login.php

emoji

php安全 过滤、验证、转义的更多相关文章

  1. ueditor的过滤、转义、格式丢失问题

    1. 过滤 http://www.cnblogs.com/Olive116/p/3464495.html 2. 转义 http://segmentfault.com/q/101000000048928 ...

  2. php 自带过滤和转义函数

    函数名 释义 介绍 htmlspecialchars 将与.单双引号.大于和小于号化成HTML格式 &转成&"转成"' 转成'<转成<>转成> ...

  3. 过滤器(Filter)对登陆页面进行过滤验证

    import javax.servlet.*;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServl ...

  4. mysql in 过滤 解决转义问题

    IF(headUser!='',instr(concat(',',headUser,','),concat(',',cr.headUser,',')),TRUE);

  5. 【快学SpringBoot】过滤XSS脚本攻击(包括json格式)

    若图片查看异常,请前往掘金查看:https://juejin.im/post/5d079e555188251ad81a28d9 XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cas ...

  6. Yii CModel中rules验证规则[转]

    array( array(‘username’, ‘required’), array(‘username’, ‘length’, ‘min’=>3, ‘max’=>12), array( ...

  7. Yii CModel中rules验证规则

    array( array(‘username’, ‘required’), array(‘username’, ‘length’, ‘min’=>3, ‘max’=>12), array( ...

  8. YII中表单验证

    关于表单的验证有三种: 1.yii的客户端验证 2.yii的服务器端验证 3.yii的ajax验证 例如: 1.在表单对应的模型中定义一个rules方法(该方添加后,在表单提交时,将自动被调用) pu ...

  9. ASP.NET Web API编程——模型验证与绑定

    1.模型验证 使用特性约束模型属性 可以使用System.ComponentModel.DataAnnotations提供的特性来限制模型. 例如,Required特性表示字段值不能为空,Range特 ...

  10. Yii正则验证

    required : 必须值验证属性 [['字段名'],required,'requiredValue'=>'必填值','message'=>'提示信息']; #说明:CRequiredV ...

随机推荐

  1. SQL 练习41

    编写一个 SQL 查询,获取 Employee 表中第二高的薪水(Salary) 例如上述 Employee 表,SQL查询应该返回 200 作为第二高的薪水.如果不存在第二高的薪水,那么查询应返回 ...

  2. C# wpf中DataGrid 支持汇总行

    最近有一个需求,需要汇总金额,份额等字段.我们使用的是原生的WPF控件,自己开发了一套Template.而没有使用比较成熟的第三方控件.所以这个功能得自己开发.并且要做成控件层次的功能. 当然也可以这 ...

  3. Spring详解(九)------事务管理

    1.事务介绍 事务(Transaction),一般是指要做的或所做的事情.在计算机术语中是指访问并可能更新数据库中各种数据项的一个程序执行单元(unit). 这里我们以取钱的例子来讲解:比如你去ATM ...

  4. 字符串拷贝函数递归与非递归的C语言实现

    初学递归的时候,觉得很抽象,不好分析,确实如此,尤其是有些时候控制语句不对,导致程序进去无限次的调用,更严重的是栈溢出.既要正确的控制结束语句,又要有正确的进入下次递归的语句,还要有些操作语句.... ...

  5. Maven项目管理工具--简单实用与入门

    Maven管理的方式就是"自动下载项目所需要的jar包,统一管理jar包之间的依赖关系" Maven下载与安装 1.首先确保JDK已安装,且JDK为1.6+(尽量新,新肯定支持,旧 ...

  6. 关于python使用的那些事儿

    时间:2019-04-11 整理:PangYuaner 标题:Python获取并输出当前日期时间 地址:https://www.cnblogs.com/kerwinC/p/5760811.html 实 ...

  7. nios eclipse提示LED_PIO_BASE没有声明,怎么回事?

    这是因为名字不一致引起的比如,在生成SOPC系统时,双击PIO(Parallel I/O)(在Avalon Modules -> Other 下),为系统添加输出接口,你没有把该组件改名成LED ...

  8. 移动端ios上下滑动翻页事件失效

    移动端开发过程中,在添加上下滑动事件时候,引入了最常用的移动端库zepto.js及其touch模块,有一种现象,安卓的手机没有问题,上下滑动翻页很正常 :但是到了ios上面,好啊,上下滑动会出现弹性滚 ...

  9. webservice学习总结(一)-- WebService相关概念介绍

    一.WebService是什么? 基于Web的服务:服务器端整出一些资源让客户端应用访问(获取数据) 一个跨语言.跨平台的规范(抽象) 多个跨平台.跨语言的应用间通信整合的方案(实际) 二.为什么要用 ...

  10. Linux环境搭建及项目部署

    一. VMWare安装图解 1.点击下一步 2.接受条款,下一步 3.选择安装目录,不建议有中文目录和空格目录.下一步 4.下一步 5.这两个选项根据可以爱好习惯选择,下一步 6.安装 7.完成 9. ...