摘抄自ThinkPHP

/**

 * 获取变量 支持过滤和默认值

 * @param array         $data 数据源

 * @param string|false  $name 字段名

 * @param mixed         $default 默认值

 * @param string|array  $filter 过滤函数

 * @return mixed

 */

function input($data = [], $name = '', $default = null, $filter = '')

{

    $name = (string) $name;

    if (is_array($data)) {

        array_walk_recursive($data, 'filterValue', $filter);

        reset($data);

    } else {

        filterValue($data, $name, $filter);

    }

    return $data;

}

/**

 * 递归过滤给定的值

 * @param mixed     $value 键值

 * @param mixed     $key 键名

 * @param array     $filters 过滤方法+默认值

 * @return mixed

 */

function filterValue(&$value, $key, $filters)

{

    $default = array_pop($filters);

    foreach ($filters as $filter) {

        if (is_callable($filter)) {

            // 调用函数或者方法过滤

            $value = call_user_func($filter, $value);

        } elseif (is_scalar($value)) {

            if (false !== strpos($filter, '/')) {

                // 正则过滤

                if (!preg_match($filter, $value)) {

                    // 匹配不成功返回默认值

                    $value = $default;

                    break;

                }

            } elseif (!empty($filter)) {

                // filter函数不存在时, 则使用filter_var进行过滤

                // filter为非整形值时, 调用filter_id取得过滤id

                $value = filter_var($value, is_int($filter) ? $filter : filter_id($filter));

                if (false === $value) {

                    $value = $default;

                    break;

                }

            }

        }

    }

    return filterExp($value);

}

/**

 * 过滤表单中的表达式

 * @param string $value

 * @return void

 */

function filterExp(&$value)

{

    // 过滤查询特殊字符

    if (is_string($value) && preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT LIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i', $value)) {

        $value .= ' ';

    }

    // TODO 其他安全过滤

}

/**

 * 强制类型转换

 * @param string $data

 * @param string $type

 * @return mixed

 */

function typeCast(&$data, $type)

{

    switch (strtolower($type)) {

        // 数组

        case 'a':

            $data = (array) $data;

            break;

        // 数字

        case 'd':

            $data = (int) $data;

            break;

        // 浮点

        case 'f':

            $data = (float) $data;

            break;

        // 布尔

        case 'b':

            $data = (boolean) $data;

            break;

        // 字符串

        case 's':

        default:

            if (is_scalar($data)) {

                $data = (string) $data;

            } else {

                throw new InvalidArgumentException('variable type error:' . gettype($data));

            }

    }

}

PHP检测SQL注入攻击代码

//过滤注入

function filter_injection(&$request)

{

    $pattern = "/(select[\s])|(insert[\s])|(update[\s])|(delete[\s])|(from[\s])|(where[\s])|(truncate[\s])|(drop[\s])|(table[\s])|(grant[\s])|(load_file[\s])|(outfile[\s])/i";

    foreach($request as $k=>$v)

    {

        if(preg_match($pattern,$k,$match))

        {

            die("SQL Injection denied!");

        }

        if(is_array($v))

        {

            filter_injection($request[$k]);

        }

        else

        {

            if(preg_match($pattern,$v,$match))

            {

                die("SQL Injection denied!");

            }

        }

    }

}
JavaScript检测SQL注入式攻击代码:

<script>

var url = location.search;

var re=/^\?(.*)(select%20|insert%20|delete%20from%20|drop%20table|update%20truncate%20)(.*)$/gi;

var e = re.test(url);

if(e) {

    alert("地址中含有非法字符~");

}

<script>

版权声明:本文采用署名-非商业性使用-相同方式共享(CC BY-NC-SA 3.0 CN)国际许可协议进行许可,转载请注明作者及出处。
本文标题:PHP用户输入安全过滤和注入攻击检测
本文链接:http://www.cnblogs.com/sochishun/p/8459562.html
本文作者:SoChishun (邮箱:14507247#qq.com | 博客:http://www.cnblogs.com/sochishun/)
发表日期:2018年2月22日

PHP用户输入安全过滤和注入攻击检测的更多相关文章

  1. 防止SQL注入攻击的一些方法小结

    SQL注入攻击的危害性很大.在讲解其防止办法之前,数据库管理员有必要先了解一下其攻击的原理.这有利于管理员采取有针对性的防治措施. 一. SQL注入攻击的简单示例. statement := &quo ...

  2. 教你ASP.NET中如何防止注入攻击

    你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cookies和浏览器环境值比如用户代理字串和IP地址等. 弱输入校验通常为注 ...

  3. 【Java编程】JDBC注入攻击-Statement 与 PreparedStatement

    在上一篇[Java编程]建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了怎样使用JDBC驱动建立一个简单的 ...

  4. C# 常用类库(字符串处理,汉字首字母拼音,注入攻击,缓存操作,Cookies操作,AES加密等)

    十年河东,十年河西,莫欺少年穷 学无止境,精益求精 记录下字符串类库,方便今后查阅 主要包含了字符串解决,去除HTML,SQL注入攻击检测,IP地址处理,Cookies操作,根据身份证获取性别.姓名. ...

  5. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  6. strtr对用户输入的敏感词汇进行过滤

    /** * 过滤用户输入的基本数据,防止script攻击 * * @access public * @return string */ function compile_str($str) { $ar ...

  7. php过滤提交数据 防止sql注入攻击

    规则 1:绝不要信任外部数据或输入 关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据.外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据. ...

  8. php安全篇过滤用户输入的参数(转)

    规则 1:绝不要信任外部数据或输入 关于Web应用程序安全性,必须认识到的第一件事是不应该信任外部数据.外部数据(outside data) 包括不是由程序员在PHP代码中直接输入的任何数据.在采取措 ...

  9. xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义

    xss 防止攻击,恶意用户将输入的信息当成html或js代码执行,办法是将用户输入的信息改为text格式,或特殊符号转义 XSS攻击的防范 XSS攻击造成的危害之所以会发生,是因为用户的输入变成了可执 ...

随机推荐

  1. Android病毒家族及行为(一)

    1病毒名称:a.remote.GingerMaste中文名:病毒家族:GingerMast病毒类别:远程控制恶意行为:获取root权限,同时连接远端服务器,在其指令控制下静默下载其它恶意软件,给用户手 ...

  2. WPF编程,窗口保持上次关闭时的大小与位置。

    原文:WPF编程,窗口保持上次关闭时的大小与位置. 版权声明:我不生产代码,我只是代码的搬运工. https://blog.csdn.net/qq_43307934/article/details/8 ...

  3. 4.Xilinx RapidIO核详解

    转自https://www.cnblogs.com/liujinggang/p/10072115.html 一.RapidIO核概述 RapidIO核的设计标准来源于RapidIO Interconn ...

  4. eclipse + maven + com.sun.jersey 创建 restful api

    maven 创建 jersey 项目 如果没找到 jersey archetype, 下载 maven 的 archetype xml, 然后导入 archetypes 运行 右击 main.java ...

  5. Kafka API: TopicMetadata

    Jusfr 原创,转载请注明来自博客园 TopicMetadataRequest/TopicMetadataResponse 前文简单说过"Kafka是自描述的",是指其broke ...

  6. aiohttp简介及快速使用

    前言 本文翻译自aiohttp官方文档,如有纰漏,欢迎指出. aiohttp是一个为Python提供异步HTTP 客户端/服务端编程,基于asyncio(Python用于支持异步编程的标准库)的异步库 ...

  7. 《杜增强讲Unity之Tanks坦克大战》9-发射子弹时蓄力

    9 发射子弹时蓄力 实现效果如下   image 按下开火键(坦克1为空格键)重置力为最小力,一直按着的时候蓄力,抬起的时候发射.如果按着的时候蓄力到最大,则自动发射,此时在抬起则不会重复发射. 首先 ...

  8. Unity 3D 简易制作摄像机围绕物体随鼠标旋转效果

    Unity 3D 简易制作摄像机围绕物体随鼠标旋转效果 梗概: 一. 摄像机围绕目标物体旋转, 即摄像机离目标物体有一定的距离且旋转轴心为该物体的位置. 二. 当目标物体被障碍物挡住后, 需要将摄像机 ...

  9. Python包下载超时问题解决

    pip下载模块慢解决办法 由于pip安装默认的访问地址为 http://pypi.python.org/simple/经常会有网络不稳定和速度慢的现象,出现timeout报错,因此可以改为访问国内的地 ...

  10. Leetcode(力扣) 整数反转

    Leetcode 7.整数反转 给出一个 32 位的有符号整数,你需要将这个整数中每位上的数字进行反转. 示例: 输入: -123 输出: -321 注意: 假设我们的环境只能存储得下 32 位的有符 ...