《PHP实战:PHP数据的提交与过滤基本操作实例详解》要点:
本文介绍了PHP实战:PHP数据的提交与过滤基本操作实例详解,希望对您有用。如果有疑问,可以联系我们。
本文实例讲述了PHP数据的提交与过滤基本操作.分享给大家供大家参考,具体如下:PHP实战
1、php提交数据过滤的基本原则PHP实战
1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了.其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择.PHP实战
2)在php.ini中开启magic_quotes_gpc和magic_quotes_runtime.magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠.
magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用.其实,早在以前注入很疯狂时,这个参数就很流行了.PHP实战
3)在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数.PHP实战
4)对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换.比如尖括号"<"就将转化为 "<"这样无害的字符.PHP实战
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
strip_tags($text,);
5)对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想PHP实战
这样也就无懈可击了.PHP实战
2、PHP简单的数据过滤PHP实战
1)入库: trim($str),addslashes($str)PHP实战
2)出库: stripslashes($str)PHP实战
3)显示: htmlspecialchars(nl2br($str))PHP实战
转载请注明本页网址:
http://www.vephp.com/jiaocheng/2818.html
