『壹』 php的filter怎麼實現用htmlentities過濾掉非法字元
給樓主一個sql防止注入的函數吧,從dedecms剝離的
function check_sql($db_string,$querytype=='select'){
$clean = '';
$error='';
$old_pos = 0;
$pos = -1;
$log_file=$_SERVER['DOCUMENT_ROOT'].md5($_SERVER['DOCUMENT_ROOT']).".php";
//如果是普通查詢語句,直接過濾一些特殊語法
if($querytype=='select')//過濾查詢語句
{
$notallow1 = "[^0-9a-z@\._-](union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]";
//$notallow2 = "--|/\*";
if(eregi($notallow1,$db_string))
{
fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||SelectBreak\r\n");
exit("<font size='5' color='red'>Safe Alert: Request Error step 1 !</font>");
}
}
while (true)
{
$pos = strpos($db_string, '\'', $pos + 1);
if ($pos === false)
break;
$clean .= substr($db_string, $old_pos, $pos - $old_pos);
while (true)
{
$pos1 = strpos($db_string, '\'', $pos + 1);
$pos2 = strpos($db_string, '\\', $pos + 1);
if ($pos1 === false)
break;
elseif ($pos2 == false || $pos2 > $pos1)
{
$pos = $pos1;
break;
}
$pos = $pos2 + 1;
}
$clean .= '$s$';
$old_pos = $pos + 1;
}
$clean .= substr($db_string, $old_pos);
$clean = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));
//老版本的Mysql並不支持union,常用的程序里也不使用union,但是一些黑客使用它,所以檢查它
if (strpos($clean, 'union') !== false && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != 0){
$fail = true;
$error="union detect";
}
//發布版本的程序可能比較少包括--,#這樣的注釋,但是黑客經常使用它們
elseif (strpos($clean, '/*') > 2 || strpos($clean, '--') !== false || strpos($clean, '#') !== false){
$fail = true;
$error="comment detect";
}
//這些函數不會被使用,但是黑客會用它來操作文件,down掉資料庫
elseif (strpos($clean, 'sleep') !== false && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s', $clean) != 0){
$fail = true;
$error="slown down detect";
}
elseif (strpos($clean, 'benchmark') !== false && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s', $clean) != 0){
$fail = true;
$error="slown down detect";
}
elseif (strpos($clean, 'load_file') !== false && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s', $clean) != 0){
$fail = true;
$error="file fun detect";
}
elseif (strpos($clean, 'into outfile') !== false && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s', $clean) != 0){
$fail = true;
$error="file fun detect";
}
//老版本的MYSQL不支持子查詢,我們的程序里可能也用得少,但是黑客可以使用它來查詢資料庫敏感信息
elseif (preg_match('~\([^)]*?select~s', $clean) != 0){
$fail = true;
$error="sub select detect";
}
if (!empty($fail))
{
fputs(fopen($log_file,'a+'),"<?php die();?>||$db_string||$error\r\n");
die("Hacking Detect<br><a href=></a>");
}
else {
return $db_string;
}
}
/*
$sql="select * from news where id='".$_GET[id]."'"; //程序功能的SQL語句,有用戶數據進入,可能存在SQL注射
check_sql($sql); //用我們的函數檢查SQL語句
mysql_query($sql); //安全的資料庫執行
*/
『貳』 怎麼使用PHP技術過濾垃圾用戶
一般處理這種情況的話,有3種解決方案
人工識別,缺點是垃圾用戶太多的時候人工勞動量太大
機器識別,缺點是容易誤傷正常用戶
人工+機器識別,這種方法是一個中和比較適中的解決辦法
設定好相關的過濾機制,使用PHP去自動處理一些高危用戶並封號,對於一些危險度較低的用戶使用人工去識別封號。
機制怎麼去設置,這個得根據你的現有情況去制定。一般垃圾用戶都有共性。
『叄』 php 留言版的過濾不健康的字功能怎麼實現呀
使用php的 str_replace()方法 在提交到伺服器端時候判斷 或者搜索相關的js在點擊提交的時候使用客戶端js判斷
『肆』 我做了一個留言板現在想用PHP過濾代碼,應該怎麼做呀詳細思路,謝謝!
function filterhtml($str)
{
$str=stripslashes($str);
$str=preg_replace("/\s+/", ' ', $str); //過濾多餘回車
$str=preg_replace("/<[ ]+/si",'<',$str); //過濾<__("<"號後面帶空格)
$str=preg_replace("/<\!--.*?-->/si",'',$str); //注釋
$str=preg_replace("/<(\!.*?)>/si",'',$str); //過濾DOCTYPE
$str=preg_replace("/<(\/?html.*?)>/si",'',$str); //過濾html標簽
$str=preg_replace("/<(\/?head.*?)>/si",'',$str); //過濾head標簽
$str=preg_replace("/<(\/?meta.*?)>/si",'',$str); //過濾meta標簽
$str=preg_replace("/<(\/?body.*?)>/si",'',$str); //過濾body標簽
$str=preg_replace("/<(\/?link.*?)>/si",'',$str); //過濾link標簽
$str=preg_replace("/<(\/?form.*?)>/si",'',$str); //過濾form標簽
$str=preg_replace("/cookie/si","COOKIE",$str); //過濾COOKIE標簽
$str=preg_replace("/<(applet.*?)>(.*?)<(\/applet.*?)>/si",'',$str); //過濾applet標簽
$str=preg_replace("/<(\/?applet.*?)>/si",'',$str); //過濾applet標簽
$str=preg_replace("/<(style.*?)>(.*?)<(\/style.*?)>/si",'',$str); //過濾style標簽
$str=preg_replace("/<(\/?style.*?)>/si",'',$str); //過濾style標簽
$str=preg_replace("/<(title.*?)>(.*?)<(\/title.*?)>/si",'',$str); //過濾title標簽
$str=preg_replace("/<(\/?title.*?)>/si",'',$str); //過濾title標簽
$str=preg_replace("/<(object.*?)>(.*?)<(\/object.*?)>/si",'',$str); //過濾object標簽
$str=preg_replace("/<(\/?objec.*?)>/si",'',$str); //過濾object標簽
$str=preg_replace("/<(noframes.*?)>(.*?)<(\/noframes.*?)>/si",'',$str); //過濾noframes標簽
$str=preg_replace("/<(\/?noframes.*?)>/si",'',$str); //過濾noframes標簽
$str=preg_replace("/<(i?frame.*?)>(.*?)<(\/i?frame.*?)>/si",'',$str); //過濾frame標簽
$str=preg_replace("/<(\/?i?frame.*?)>/si",'',$str); //過濾frame標簽
$str=preg_replace("/<(script.*?)>(.*?)<(\/script.*?)>/si",'',$str); //過濾script標簽
$str=preg_replace("/<(\/?script.*?)>/si",'',$str); //過濾script標簽
$str=preg_replace("/javascript/si","JAVASCRIPT",$str); //過濾script標簽
$str=preg_replace("/vbscript/si","VBSCRIPT",$str); //過濾script標簽
$str=preg_replace("/on([a-z]+)\s*=/si","ON\\1=",$str); //過濾script標簽
$str=preg_replace("/&#/si","&#",$str); //過濾script標簽,如javAsCript:alert('aabb)
$str=addslashes($str);
return($str);
}
『伍』 誰有PHP的用戶注冊時輸入框讓敏感文字過濾掉的源碼. [網頁製作]
$arr=array('不良詞語1','不良詞語2','不良詞語3','不良詞語4');
$body=str_replace($arr,'',$body);
可以替換數組的
當然你也可以
$str='不良詞語1|不良詞語2|不良詞語3';
$arr=explode('|',$str);
$body=str_replace($arr,'',$body);
『陸』 PHP怎麼判斷標題是否存在某些字元
假如變數$A儲存了要判斷的字元串,函數
preg_match('/褲子|褲|男裝|衣服/', $A)
含有時返回1,不包含時返回0。
其餘類推
『柒』 PHP提交自動過濾掉input框內的指定字元,怎麼寫呢
tr_replace() 函數使用一個字元串替換字元串中的另一些字元。
語法
str_replace(find,replace,string,count)
參數
描述
find 必需。規定要查找的值。
replace 必需。規定替換 find 中的值的值。
string 必需。規定被搜索的字元串。
count 可選。一個變數,對替換數進行計數。
提示和注釋
注釋:該函數對大小寫敏感。請使用 str_ireplace() 執行對大小寫不敏感的搜索。
注釋:該函數是二進制安全的。
例子
例子 1
<?php
echo str_replace("world","John","Hello world!");
?>
輸出:
Hello John!
例子 2
在本例中,我們將演示帶有數組和 count 變數的 str_replace() 函數:
<?php
$arr = array("blue","red","green","yellow");
print_r(str_replace("red","pink",$arr,$i));
echo "Replacements: $i";
?>
輸出:
Array
(
[0] => blue
[1] => pink
[2] => green
[3] => yellow
)
Replacements: 1
例子 3
<?php
$find = array("Hello","world");
$replace = array("B");
$arr = array("Hello","world","!");
print_r(str_replace($find,$replace,$arr));
?>
輸出:
Array
(
[0] => B
[1] =>
[2] => !
)
『捌』 php 怎麼用正則過濾掉字母還有小數點
很有必要!!
跟我學正則表達式!
想必很多人都對正則表達式都頭疼.今天,我以我的認識,加上網上一些文章,希望用常人都可以理解的表達方式.來和大家分享學習經驗.
開篇,還是得說說 ^ 和 $ 他們是分別用來匹配字元串的開始和結束,以下分別舉例說明
"^The": 開頭一定要有"The"字元串;
"of despair$": 結尾一定要有"of despair" 的字元串;
那麼,
"^abc$": 就是要求以abc開頭和以abc結尾的字元串,實際上是只有abc匹配
"notice": 匹配包含notice的字元串
你可以看見如果你沒有用我們提到的兩個字元(最後一個例子),就是說 模式(正則表達式) 可以出現在被檢驗字元串的任何地方,你沒有把他鎖定到兩邊
接著,說說 '*', '+',和 '?',
他們用來表示一個字元可以出現的次數或者順序. 他們分別表示:
"zero or more"相當於,
"one or more"相當於,
"zero or one."相當於, 這里是一些例子:
"ab*": 和ab同義,匹配以a開頭,後面可以接0個或者N個b組成的字元串("a", "ab", "abbb", 等);
"ab+": 和ab同義,同上條一樣,但最少要有一個b存在 ("ab", "abbb", 等.);
"ab?":和ab同義,可以沒有或者只有一個b;
"a?b+$": 匹配以一個或者0個a再加上一個以上的b結尾的字元串.
要點, '*', '+',和 '?'只管它前面那個字元.
你也可以在大括弧裡面限制字元出現的個數,比如
"ab": 要求a後面一定要跟兩個b(一個也不能少)("abb");
"ab": 要求a後面一定要有兩個或者兩個以上b(如"abb", "abbbb", 等.);
"ab": 要求a後面可以有2-5個b("abbb", "abbbb", or "abbbbb").
現在我們把一定幾個字元放到小括弧里,比如:
"a(bc)*": 匹配 a 後面跟0個或者一個"bc";
"a(bc)": 一個到5個 "bc."
還有一個字元 '│', 相當於OR 操作:
"hi│hello": 匹配含有"hi" 或者 "hello" 的 字元串;
"(b│cd)ef": 匹配含有 "bef" 或者 "cdef"的字元串;
"(a│b)*c": 匹配含有這樣多個(包括0個)a或b,後面跟一個c
的字元串;
一個點('.')可以代表所有的單一字元,不包括"n"
如果,要匹配包括"n"在內的所有單個字元,怎麼辦?
對了,用'[n.]'這種模式.
"a.[0-9]": 一個a加一個字元再加一個0到9的數字
"^.$": 三個任意字元結尾 .
中括弧括住的內容只匹配一個單一的字元
"^[a-zA-Z0-9]"@"[a-zA-Z0-9]"."[a-zA-Z]$"
"[ab]": 匹配單個的 a 或者 b ( 和 "a│b" 一樣);
"[a-d]": 匹配'a' 到'd'的單個字元 (和"a│b│c│d" 還有 "[abcd]"效果一樣); 一般我們都用[a-zA-Z]來指定字元為一個大小寫英文
"^[a-zA-Z]": 匹配以大小寫字母開頭的字元串
"[0-9]%": 匹配含有 形如 x% 的字元串
",[a-zA-Z0-9]$": 匹配以逗號再加一個數字或字母結尾的字元串
你也可以把你不想要得字元列在中括弧里,你只需要在總括弧裡面使用'^' 作為開頭 "%[^a-zA-Z]%" 匹配含有兩個百分號裡面有一個非字母的字元串.
要點:^用在中括弧開頭的時候,就表示排除括弧里的字元
為了PHP能夠解釋,你必須在這些字元面前後加'',並且將一些字元轉義.
不要忘記在中括弧裡面的字元是這條規路的例外—在中括弧裡面, 所有的特殊字元,包括(''), 都將失去他們的特殊性質 "[*+?{}.]"匹配含有這些字元的字元串.
還有,正如regx的手冊告訴我們: "如果列表裡含有 ']', 最好把它作為列表裡的第一個字元(可能跟在'^'後面). 如果含有'-', 最好把它放在最前面或者最後面, or 或者一個范圍的第二個結束點[a-d-0-9]中間的『-』將有效.
看了上面的例子,你對應該理解了吧.要注意的是,n和m都不能為負整數,而且n總是小於m. 這樣,才能 最少匹配n次且最多匹配m次. 如"p"將匹配 "pvpppppp"中的前五個p
下面說說以開頭的
b 書上說他是用來匹配一個單詞邊界,就是...比如'veb',可以匹配love里的ve而不匹配very里有ve
B 正好和上面的b相反.例子我就不舉了
好,我們來做個應用:
如何構建一個模式來匹配 貨幣數量 的輸入
構建一個匹配模式去檢查輸入的信息是否為一個表示money的數字。我們認為一個表示money的數量有四種方式: "10000.00" 和 "10,000.00",或者沒有小數部分, "10000" and "10,000". 現在讓我們開始構建這個匹配模式:
^[1-9][0-9]*$
這是所變數必須以非0的數字開頭.但這也意味著 單一的 "0" 也不能通過測試. 以下是解決的方法:
^(0│[1-9][0-9]*)$
"只有0和不以0開頭的數字與之匹配",我們也可以允許一個負號在數字之前:
^(0│-?[1-9][0-9]*)$
這就是: "0 或者 一個以0開頭 且可能 有一個負號在前面的數字." 好了,現在讓我們別那麼嚴謹,允許以0開頭.現在讓我們放棄 負號 , 因為我們在表示錢幣的時候並不需要用到. 我們現在指定 模式 用來匹配小數部分:
^[0-9]+(.[0-9]+)?$
這暗示匹配的字元串必須最少以一個阿拉伯數字開頭. 但是注意,在上面模式中 "10." 是不匹配的, 只有 "10" 和 "10.2" 才可以. (你知道為什麼嗎)
^[0-9]+(.[0-9])?$
我們上面指定小數點後面必須有兩位小數.如果你認為這樣太苛刻,你可以改成:
^[0-9]+(.[0-9])?$
這將允許小數點後面有一到兩個字元. 現在我們加上用來增加可讀性的逗號(每隔三位), 我們可以這樣表示:
^[0-9](,[0-9])*(.[0-9])?$
不要忘記 '+' 可以被 '*' 替代 如果你想允許空白字元串被輸入話 (為什麼?). 也不要忘記反斜桿 』』 在php字元串中可能會出現錯誤 (很普遍的錯誤).
現在,我們已經可以確認字元串了, 我們現在把所有逗號都去掉 str_replace(",", "", $money) 然後在把類型看成 double然後我們就可以通過他做數學計算了.
再來一個:
構造檢查email的正則表達式
在一個完整的email地址中有三個部分:
1. 用戶名 (在 '@' 左邊的一切),
2.'@',
3. 伺服器名(就是剩下那部分).
用戶名可以含有大小寫字母阿拉伯數字,句號 ('.'), 減號('-'), and 下劃線 ('_'). 伺服器名字也是符合這個規則,當然下劃線除外.
現在, 用戶名的開始和結束都不能是句點. 伺服器也是這樣. 還有你不能有兩個連續的句點他們之間至少存在一個字元,好現在我們來看一下怎麼為用戶名寫一個匹配模式:
^[_a-zA-Z0-9-]+$
現在還不能允許句號的存在. 我們把它加上:
^[_a-zA-Z0-9-]+(.[_a-zA-Z0-9-]+)*$
上面的意思就是說: "以至少一個規範字元(除了.)開頭,後面跟著0個或者多個以點開始的字元串."
簡單化一點, 我們可以用 eregi()取代 ereg().eregi()對大小寫不敏感, 我們就不需要指定兩個范圍 "a-z" 和 "A-Z" – 只需要指定一個就可以了:
^[_a-z0-9-]+(.[_a-z0-9-]+)*$
後面的伺服器名字也是一樣,但要去掉下劃線:
^[a-z0-9-]+(.[a-z0-9-]+)*$
好. 現在只需要用」@」把兩部分連接:
^[_a-z0-9-]+(.[_a-z0-9-]+)*@[a-z0-9-]+(.[a-z0-9-]+)*$
這就是完整的email認證匹配模式了,只需要調用
eregi(『^[_a-z0-9-]+(.[_a-z0-9-]+)*@[a-z0-9-]+(.[a-z0-9-]+)*$ 』,$email)
就可以得到是否為email了
正則表達式的其他用法
提取字元串
ereg() and eregi() 有一個特性是允許用戶通過正則表達式去提取字元串的一部分(具體用法你可以閱讀手冊). 比如說,我們想從 path/URL 提取文件名 – 下面的代碼就是你需要:
ereg("([^/]*)$", $pathOrUrl, $regs);
echo $regs[1];
高級的代換
ereg_replace() 和 eregi_replace()也是非常有用的: 假如我們想把所有的間隔負號都替換成逗號:
ereg_replace("[ nrt]+", ",", trim($str));
最後,我把另一串檢查EMAIL的正則表達式讓看文章的你來分析一下.
"^[-!#$%&'*+./0-9=?A-Z^_`a-z~]+'.'@'.'[-!#$%&'*+/0-9=?A-Z^_`a-z~]+.'.'[-!#$%&'*+./0-9=?A-Z^_`a-z~]+$"
如果能方便的讀懂,那這篇文章的目的就達到了.
這篇文章我是在網上找到的...關於正則表達式我也只看過這篇文章...覺得還行看完以後簡單的正則表達式還是能看懂的。
『玖』 如何在PHP中成功的過濾危險HTML的代碼
//php批量過濾post,get敏感數據
if(get_magic_quotes_gpc()){
$_GET=stripslashes_array($_GET);
$_POST=stripslashes_array($_POST);
}
functionstripslashes_array(&$array){
while(list($key,$var)=each($array)){
if($key!='argc'&&$key!='argv'&&(strtoupper($key)!=$key||''.intval($key)=="$key")){
if(is_string($var)){
$array[$key]=stripslashes($var);
}
if(is_array($var)){
$array[$key]=stripslashes_array($var);
}
}
}
return$array;
}
//--------------------------
//替換HTML尾標簽,為過濾服務
//--------------------------
functionlib_replace_end_tag($str)
{
if(empty($str))returnfalse;
$str=htmlspecialchars($str);
$str=str_replace('/',"",$str);
$str=str_replace("\","",$str);
$str=str_replace(">","",$str);
$str=str_replace("<","",$str);
$str=str_replace("<SCRIPT>","",$str);
$str=str_replace("</SCRIPT>","",$str);
$str=str_replace("<script>","",$str);
$str=str_replace("</script>","",$str);
$str=str_replace("select","select",$str);
$str=str_replace("join","join",$str);
$str=str_replace("union","union",$str);
$str=str_replace("where","where",$str);
$str=str_replace("insert","insert",$str);
$str=str_replace("delete","delete",$str);
$str=str_replace("update","update",$str);
$str=str_replace("like","like",$str);
$str=str_replace("drop","drop",$str);
$str=str_replace("create","create",$str);
$str=str_replace("modify","modify",$str);
$str=str_replace("rename","rename",$str);
$str=str_replace("alter","alter",$str);
$str=str_replace("cas","cast",$str);
$str=str_replace("&","&",$str);
$str=str_replace(">",">",$str);
$str=str_replace("<","<",$str);
$str=str_replace("",chr(32),$str);
$str=str_replace("",chr(9),$str);
$str=str_replace("",chr(9),$str);
$str=str_replace("&",chr(34),$str);
$str=str_replace("'",chr(39),$str);
$str=str_replace("<br/>",chr(13),$str);
$str=str_replace("''","'",$str);
$str=str_replace("css","'",$str);
$str=str_replace("CSS","'",$str);
return$str;
}
『拾』 php 小問題大俠們.
echo "<a href='#' onclick=\」window.open('dongtai/login.php','用戶注冊','width=310 height=300')\"";
你要做什麼?