重庆分公司,新征程启航

为企业提供网站建设、域名注册、服务器等服务

关于php敏感词过滤数据库的信息

php 留言版的过滤不健康的字功能怎么实现呀

使用php的 str_replace()方法 在提交到服务器端时候判断 或者搜索相关的js在点击提交的时候使用客户端js判断

让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:国际域名空间、网站空间、营销软件、网站建设、沭阳网站维护、网站推广。

php怎样过滤非法字符防止sql注入?

htmlspecialchars($_POST['字段']),用这个函数就可以将一些特殊字符进行过滤转义。你可以去看看这个函数的说明。

php过滤字符问题

用js过滤非法字符是不安全的,js是客户端技术,可以本地绕过

如果数据是入库的,最好在服务器端在过滤一次,防止恶意字符进入数据库,形成注入,可以这样过滤

?php

if (isset($_GET['price'])){

(is_numeric($_GET['price']) and is_int($_GET['price']+0))?$price=$_GET['price']:die('非int类型,请重新输入');

echo "价格为 $price";

}

?

form action=""

input type="text" name="price"

input type="submit" value="send"

/form

不过int型范围是2147483647,超出后即使是整数,也被解释为float

如何防止代码注入攻击在PHP

一,HTML防注入。

一般的html注入都是在字符串中加入了html标签,用下JAVA代码可以去掉这部分代码。

代码如下,自己封装成方法即可。

String msge = "asdasdasdasd div id=\"f\"asdfsdf";

System.out.println(msge);

msge = msge.replace("", "");

msge = msge.replace("", "");

msge = msge.replace(" ", " ");

msge = msge.replace("", "");

msge = msge.replace("\"", """);

msge = msge.replace("'", "qpos;");

System.out.println(msge);

二、防SQL注入

最简单最容易的是限制用户输入。

简单点的就是不允许用户输入单引号 和 --,因为单引号号--在SQL中都是影响执行的。

但SQL注入是多方面的,防止的方法也有很多种。

1、地址栏禁止特殊字符防SQL注入

把特殊字符(如and、or、'、")都禁止提交就可以防止注入了。

2、php过滤html字符串,防止SQL注入

批量过滤post,get敏感数据

$_GET = stripslashes_array($_GET);

$_POST = stripslashes_array($_POST);

数据过滤函数

function stripslashes_array($array) {

while(list($key,$var) = each($array)) {

if ($key != 'argc' $key != 'argv' (strtoupper($key) != $key || ''.intval($key) == "$key")) {

if (is_string($var)) {

$array[$key] = stripslashes($var);

}

if (is_array($var)) {

$array[$key] = stripslashes_array($var);

}

}

}

return $array;

}

3、替换HTML尾标签

function lib_replace_end_tag($str)

{

if (empty($str)) return false;

$str = htmlspecialchars($str);

$str = str_replace( '/', "", $str);

$str = str_replace("\\", "", $str);

$str = str_replace("", "", $str);

$str = str_replace("", "", $str);

$str = str_replace("SCRIPT", "", $str);

$str = str_replace("/SCRIPT", "", $str);

$str = str_replace("script", "", $str);

$str = str_replace("/script", "", $str);

$str=str_replace("select","select",$str);

$str=str_replace("join","join",$str);

$str=str_replace("union","union",$str);

$str=str_replace("where","where",$str);

$str=str_replace("insert","insert",$str);

$str=str_replace("delete","delete",$str);

$str=str_replace("update","update",$str);

$str=str_replace("like","like",$str);

$str=str_replace("drop","drop",$str);

$str=str_replace("create","create",$str);

$str=str_replace("modify","modify",$str);

$str=str_replace("rename","rename",$str);

$str=str_replace("alter","alter",$str);

$str=str_replace("cas","cast",$str);

$str=str_replace("","",$str);

$str=str_replace("","",$str);

$str=str_replace("","",$str);

$str=str_replace(" ",chr(32),$str);

$str=str_replace(" ",chr(9),$str);

$str=str_replace(" ",chr(9),$str);

$str=str_replace("",chr(34),$str);

$str=str_replace("'",chr(39),$str);

$str=str_replace("br /",chr(13),$str);

$str=str_replace("''","'",$str);

$str=str_replace("css","'",$str);

$str=str_replace("CSS","'",$str);

return $str;

}

三、专业的事情交给专业的工具去做。

安装安全软件。例如,在服务器中安装“服务器安全狗”,可以设置防注入,防攻击的设置,只要设置好安全规则,就可以屏蔽大多数攻击入侵。


当前标题:关于php敏感词过滤数据库的信息
转载来于:http://cqcxhl.cn/article/hdioho.html

其他资讯

在线咨询
服务热线
服务热线:028-86922220
TOP