使用正则过滤非法字符可防止SQL注入和XSS攻击,如清除特殊符号;2. 不同输入类型需定制规则,如用户名、邮箱、手机号的验证;3. 富文本应结合strip_tags与正则处理伪协议;4. 敏感词可用preg_quote构建安全正则替换。正则需结合参数化查询与输出编码构建完整防护体系。
在Web开发中,用户输入是安全隐患的主要来源之一。PHP作为广泛使用的后端语言,结合正则表达式能有效过滤非法字符,防止SQL注入、XSS攻击和数据污染。合理使用正则不仅能提升安全性,还能规范输入格式。
1. 过滤常见非法字符
通过正则表达式可以快速识别并清除或替换潜在危险字符。例如,移除HTML标签、脚本代码或特殊符号:
preg_replace('/["\';(){}\\\\]/', '', $input);这条规则会删除尖括号、引号、分号、反斜杠等常用于攻击的字符。根据业务需求可适当调整允许的字符集。
2. 验证并清理特定类型输入
不同字段应有对应的过滤策略。例如:
立即学习“PHP免费学习笔记(深入)”;
- 用户名:只允许字母、数字和下划线,长度限制4-20位 preg_match('/^[a-zA-Z0-9_]{4,20}$/', $username)
- 邮箱:使用过滤函数更安全 filter_var($email, FILTER_VALIDATE_EMAIL)
- 手机号:匹配中国大陆号码格式 preg_match('/^1[3-9]\d{9}$/', $phone)
3. 防止XSS的关键处理
即使前端做了限制,后端仍需对富文本进行严格过滤。可结合正则与内置函数:
$clean = strip_tags($input, '
'); // 白名单允许的标签 $clean = preg_replace('/javascript:/i', 'js:', $clean); // 防止伪协议 $clean = htmlspecialchars($clean, ENT_QUOTES, 'UTF-8');
这种组合方式比单一正则更可靠,避免绕过风险。
4. 自定义非法词过滤机制
针对敏感词或违禁语,可用正则批量匹配替换:
$badWords = ['fuck', 'admin', 'password']; $pattern = '/(' . implode('|', array_map('preg_quote', $badWords)) . ')/i'; $safeInput = preg_replace($pattern, '***', $input);使用 preg_quote 可转义特殊字符,防止正则语法错误。
基本上就这些。关键是根据输入场景选择合适规则,不一味追求“最严”,也不过度放行。正则只是防线之一,配合参数化查询、输出编码等措施,才能构建完整安全体系。
