应综合运用filter_var()、htmlspecialchars()、pdo预处理语句、正则白名单及htmlpurifier五种方法:一用filter_var()标准化和验证数据;二用htmlspecialchars()转义输出防xss;三用pdo预处理分离sql逻辑与参数防注入;四用正则白名单限定输入格式;五用htmlpurifier净化富文本。
如果用户提交的数据未经处理直接进入PHP应用程序,可能导致SQL注入、XSS攻击或命令执行等安全风险。以下是过滤用户输入数据的多种方法:
一、使用filter_var()函数进行基础过滤
filter_var()是PHP内置的轻量级过滤函数,适用于验证和清理常见类型的数据,如邮箱、URL、整数等,无需额外扩展即可使用。
1、对邮箱地址进行标准化过滤:$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
2、对整数输入进行强制转换并去除非法字符:$id = filter_var($_POST['id'], FILTER_SANITIZE_NUMBER_INT);
立即学习“PHP免费学习笔记(深入)”;
3、验证邮箱格式是否合法:if (filter_var($email, FILTER_VALIDATE_EMAIL) === false) { /* 处理无效邮箱 */ }
二、使用htmlspecialchars()防止XSS攻击
该函数将特殊HTML字符转换为实体,确保用户输入在输出到浏览器时不会被解析为可执行代码,是防御反射型和存储型XSS的核心手段。
1、对所有输出到HTML页面的用户数据调用该函数:echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
2、在模板中统一包装变量输出:php echo htmlspecialchars($title, ENT_HTML5, 'UTF-8'); ?>
3、注意必须显式指定字符编码(如'UTF-8'),否则在旧版本PHP中可能因默认编码不一致导致绕过。
三、使用PDO预处理语句防止SQL注入
预处理语句将SQL逻辑与用户数据完全分离,数据库引擎在执行前已编译语句结构,参数仅作为纯数据绑定,从根本上杜绝SQL注入可能。
十天学会易语言图解教程用图解的方式对易语言的使用方法和操作技巧作了生动、系统的讲解。需要的朋友们可以下载看看吧!全书分十章,分十天讲完。 第一章是介绍易语言的安装,以及运行后的界面。同时介绍一个非常简单的小程序,以帮助用户入门学习。最后介绍编程的输入方法,以及一些初学者会遇到的常见问题。第二章将接触一些具体的问题,如怎样编写一个1+2等于几的程序,并了解变量的概念,变量的有效范围,数据类型等知识。其后,您将跟着本书,编写一个自己的MP3播放器,认识窗口、按钮、编辑框三个常用组件。以认识命令及事件子程序。第
1、创建PDO实例并设置错误模式为异常:$pdo = new PDO($dsn, $user, $pass, [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);
2、编写含占位符的SQL语句:$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :name AND status = ?");
3、绑定参数并执行:$stmt->bindValue(':name', $_POST['username'], PDO::PARAM_STR); $stmt->bindValue(1, 1, PDO::PARAM_INT); $stmt->execute();
四、使用正则表达式进行自定义白名单过滤
当业务需要严格限定输入格式(如用户名仅允许字母数字下划线)时,应采用白名单正则匹配,拒绝一切未明确允许的字符。
1、定义用户名白名单规则:$username = preg_replace('/[^a-zA-Z0-9_]/', '', $_POST['username']);
2、验证手机号是否符合中国大陆格式:if (!preg_match('/^1[3-9]\d{9}$/', $_POST['phone'])) { /* 拒绝非法号码 */ }
3、对文件上传的原始文件名做安全截取:$safe_name = preg_replace('/[^a-zA-Z0-9._-]/', '_', $_FILES['file']['name']);
五、使用HTMLPurifier库清理富文本内容
对于允许用户提交HTML内容的场景(如评论、文章编辑),内置函数无法满足复杂标签控制需求,HTMLPurifier提供可配置的白名单机制,能安全保留所需标签并剥离危险属性。
1、通过Composer安装:composer require ezyang/htmlpurifier
2、初始化配置对象并设置允许的HTML元素:$config = HTMLPurifier_Config::createDefault(); $config->set('HTML.Allowed', 'p,b,i,a[href|title],ul,ol,li');
3、实例化净化器并过滤输入:$clean_html = $purifier->purify($_POST['content']);
