PHP數據過濾函數

 　　1、php提交數據過濾的基本原則

　　1)提交變量進數據庫時，我們必須使用addslashes()進行過濾，像我們的注入問題，一個addslashes()也就搞定了。其實在涉及到變量取值時，intval()函數對字符串的過濾也是個不錯的選擇。

　　2)在php.ini中開啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie裡的引號變為斜槓。magic_quotes_runtime對於進出數據庫的數據可以起到格式話的作用。其實，早在以前注入很瘋狂時，這個參數就很流行了。

　　3)在使用系統函數時，必須使用escapeshellarg(),escapeshellcmd()參數去過濾，這樣你也就可以放心的使用系統函數。

　　4)對於跨站，strip_tags(),htmlspecialchars()兩個參數都不錯，對於用戶提交的的帶有html和php的標記都將進行轉換。比如尖括號"<"就將轉化為 "<"這樣無害的字符。

 代碼如下   $new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
strip_tags($text,);

　　5)對於相關函數的過濾，就像先前的include(),unlink,fopen()等等，只要你把你所要執行操作的變量指定好或者對相關字符過濾嚴密，我想這樣也就無懈可擊了。

　　2、PHP簡單的數據過濾

　　1)入庫: trim($str),addslashes($str)

　　2)出庫: stripslashes($str)

　　3)顯示: htmlspecialchars(nl2br($str))

　　看下面的例子以便進一步討論dispatch.php腳本:

 代碼如下  

<?php

/* 全局安全處理 */

switch ($_GET['task'])
{
case 'print_form':
include '/inc/presentation/form.inc';
break;

case 'process_form':
$form_valid = false;
include '/inc/logic/process.inc';
if ($form_valid)
{
include '/inc/presentation/end.inc';
}
else
{
include '/inc/presentation/form.inc';
}
break;

default:
include '/inc/presentation/index.inc';
break;
}

?>

　　如果這是唯一的可公開訪問到的 PHP 腳本，則可以確信的一點是這個程序的設計可以確保在最開始的全局安全處理無法被繞過。同時也讓開發者容易看到特定任務的控制流程。例如，不需要浏覽整個代碼就可以容易的知道：當$form_valid為true時，end.inc是唯一顯示給用戶的;由於它在process.inc被包含之前，並剛剛初始化為false，可以確定的是process.inc的內部邏輯會將設置它為true;否則表單將再次顯示(可能會顯示相關的錯誤信息)。

　　注意

　　如果你使用目錄定向文件，如index.php(代替dispatch.php)，你可以像這樣使用 URL 地址：http://example.org/?task=print_form。

　　你還可以使用 ApacheForceType重定向或者mod_rewrite來調整 URL 地址：http://example.org/app/print-form。

　　包含方法

　　另外一種方式是使用單獨一個模塊，這個模塊負責所有的安全處理。這個模塊被包含在所有公開的 PHP 腳本的最前端(或者非常靠前的部分)。參考下面的腳本security.inc

 代碼如下  

<?php

switch ($_POST['form'])
{
case 'login':
$allowed = array();
$allowed[] = 'form';
$allowed[] = 'username';
$allowed[] = 'password';

$sent = array_keys($_POST);

if ($allowed == $sent)
{
include '/inc/logic/process.inc';
}

break;
}

?>

　　在本例中，每個提交過來的表單都認為應當含有form這個唯一驗證值，並且security.inc獨立處理表單中0需要過濾的數據。實現這個要求的 HTML 表單如下所示：

 代碼如下   <form action="/receive.php" method="POST">
<input type="hidden" name="form" value="login" />
<p>Username:
<input type="text" name="username" /></p>
<p>Password:
<input type="password" name="password" /></p>
<input type="submit" />
</form>

　　叫做$allowed的數組用來檢驗哪個表單變量是允許的， 這個列表在表單被處理前應當是一致的。流程控制決定要執行什麼，而process.inc是真正過濾後的數據到達的地方。

　　注意

　　確保security.inc總是被包含在每個腳本的最開始的位置比較好的方法是使用auto_prepend_file設置。

　　過濾的例子

　　建立白名單對於數據過濾是非常重要的。由於不可能對每一種可能遇到的表單數據都給出例子，部分例子可以幫助你對此有一個大體的了解。

　　下面的代碼對郵件地址進行了驗證：

 代碼如下  

<?php

$clean = array();

$email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';

if (preg_match($email_pattern, $_POST['email']))
{
$clean['email'] = $_POST['email'];
}

?>

　　下面的代碼確保了$_POST['color']的內容是red，green，或者blue：

 代碼如下