会员登录 | 注册

来去留技术信息资源

来去留技术信息资源
来去留网 > 去看信息 > 程序系统 > PHP安全过滤用户的输入

PHP安全过滤用户的输入

2011-12-30 16:45来源:发布者: 查看:

      建立一个安全应用网站的原则之一是绝不可相信用户的任何输入,将用户数据输入到文件或者数据库之前,要一直屏蔽此数据或者通过系统执行的命令传输它。下面简要地列出这些常用函数,以作参考:
     • 必须使用函数addslashes0在用户数据进入数据库之前过滤该数据。这个函数过滤掉可能引起数据库问题的字符。可以使用函数stripslashes0将数据返回到它的原始形式。
     • 可以在php.ini配置文件中开启magic_quotes_gpe和magic_quotes_runtime的指令。这些指令将自动地添加和过滤斜杠。maglc_quotes_gpe指令用于格式化GET、POST和cookie变量,而magic_quote_runtime指令用于格式化进出数据库的数据。
     • 当传递用户数据给system()或者exec()时,必须使用函数escapeshellcmd()。该函数可以避免任何怀有恶意的用户输入强迫系统运行某些特定命令的字符。
     • 可以使用函数strip_tags0从一个字符串中去掉HTML和PHP标记。这样可以避免用户将恶惠的脚本植入到用户的数据中(可能会将这些数据显示到浏览器上)。
     • 可以使用函数htmlspecialchars0,该函数将字符转换成它们的HTML等价实体。例如,“<”被将转换成“&It;”,该函数可以将任何脚本标记转换成无害的字符。

(责任编辑:laiquliu)

关注技术,信息,资源,扫描来去留网微信二维码交流。

来去留我李俊

搜索

------分隔线----------------------------
相关栏目

热点推荐
来去留技术信息资源
来去留网为您提供平台咨询交流学习方法及各类热门技术;电器,服装,保健,行业快讯等二十几个类别的资讯