文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

PHP中怎么实现数据过滤

2023-06-17 19:33

关注

本篇文章给大家分享的是有关PHP中怎么实现数据过滤,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

PHP数据过滤调度方法

这种方法是用一个单一的PHP脚本调度(通过 URL)。其他任何操作在必要的时候使用include或require包含进来。这种方法一般需要每个 URL 都传递一个单独的GET变量用于调度。这个GET变量可以被认为是用来替代脚本名称的更加简化的设计。例如:

http://example.org/dispatch.php?task=print_formdispatch.php是***的根文件(Document root)。它可以让开发者做两件非常重要的事情:

在dispatch.php最开始实现一些全局的安全处理,并且确保这些处理不可以被绕过。容易确定在必要的地方进行数据过滤,特别是一些特殊目的的控制流操作中。看下面的例子以便进一步讨论dispatch.php脚本:

  1. < ?php  

  2.  

  3. switch ($_GET['task']){case 
    'print_form':include '/inc/
    presentation/form.inc';  

  4. break;  

  5. case 'process_form':$form_valid = false;  

  6. include '/inc/logic/process.inc';  

  7. if ($form_valid){include '/inc/
    presentation/end.inc';}else{include 
    '/inc/presentation/form.inc';}
    break;default:include '/inc/presentation
    /index.inc';  

  8. break;  

  9. }  

  10. ?> 

如果这是***的可公开访问到的 PHP 脚本,则可以确信的一点是这个程序的设计可以确保在最开始的全局安全处理无法被绕过。同时也让开发者容易看到特定任务的控制流程。例如,不需要浏览整个代码就可以容易的知道:当$form_valid为true时,end.inc是***显示给用户的;由于它在process.inc被包含之前,并刚刚初始化为false,可以确定的是process.inc的内部逻辑会将设置它为true;否则表单将再次显示(可能会显示相关的错误信息)。

PHP数据过滤要注意的问题

如果你使用目录定向文件,如index.php(代替dispatch.php),你可以像这样使用 URL 地址:http://example.org/?task=print_form。

你还可以使用ApacheForceType重定向或者mod_rewrite来调整 URL 地址:http://example.org/app/print-form。

PHP数据过滤的包含方法

另外一种方式是使用单独一个模块,这个模块负责所有的安全处理。这个模块被包含在所有公开的 PHP 脚本的最前端(或者非常靠前的部分)。参考下面的脚本security.inc

  1. < ?php  

  2. switch ($_POST['form'])  

  3. {case 'login':  

  4. $allowed = array();  

  5. $allowed[] = 'form';  

  6. $allowed[] = 'username';  

  7. $allowed[] = 'password';  

  8. $sent = array_keys($_POST);  

  9. if ($allowed == $sent)  

  10. {include '/inc/logic/
    process.inc';}  

  11. break;  

  12. }  

  13. ?> 

在这个PHP数据过滤例中,每个提交过来的表单都认为应当含有form这个***验证值,并且security.inc独立处理表单中0需要过滤的数据。实现这个要求的HTML表单如下所示:

  1. < form. action="/receive.php" 
    method="POST"> 

  2. <input type="hidden" 
    name="form" value="login" /> 

  3. < p>Username:  

  4. <input type="text" name="username" /> 

  5. < /p> 

  6. < p>Password:<input 
    type="password" name="password" /> 

  7. < /p> 

  8. < input type="submit" /> 

  9. < /form> 

叫做$allowed的数组用来检验哪个表单变量是允许的, 这个列表在表单被处理前应当是一致的。流程控制决定要执行什么,而process.inc是真正过滤后的数据到达的地方。

注意

确保security.inc总是被包含在每个脚本的最开始的位置比较好的方法是使用auto_prepend_file设置。

PHP数据过滤的例子

建立白名单对于PHP数据过滤是非常重要的。由于不可能对每一种可能遇到的表单数据都给出例子,部分例子可以帮助你对此有一个大体的了解。

下面的代码对邮件地址进行了验证:

  1. < ?php  

  2. $clean = array();  

  3. $email_pattern = '
    /^[^@\s<&>]+@([-a-z0-9]+\.)
    +[a-z]{2,}$/i';  

  4. if (preg_match($email_
    pattern, $_POST['email']))  

  5. {$clean['email'] = $_POST
    ['email'];}  

  6. ?> 

下面的PHP数据过滤代码确保了$_POST['color']的内容是red,green,或者blue:

  1. < ?php  

  2. $clean = array();  

  3. switch ($_POST['color'])
    {case 'red':case 'green':case 
    'blue':$clean['color'] = 
    $_POST['color'];  

  4. break;  

  5. }  

  6. ?> 

下面的PHP数据过滤代码确保$_POST['num']是一个整数(integer):

  1. < ?php  

  2. $clean = array();  

  3. if ($_POST['num'] == 
    strval(intval($_
    POST['num']))){$clean
    ['num'] = $_POST['num'];  

  4. }  

  5. ?> 

下面的PHP数据过滤代码确保$_POST['num']是一个浮点数(float):

  1. < ?php  

  2. $clean = array();  

  3. if ($_POST['num'] == 
    strval(floatval($_POST
    ['num']))){$clean['num'] 
    = $_POST['num'];  

  4. }  

  5. ?> 

PHP数据过滤的名字转换

之前每个例子都使用了数组$clean。对于开发人员判断数据是否有潜在的威胁这是一个很好的习惯。 永远不要在对数据验证后还将其保存在$_POST或者$_GET中,作为开发人员对超级全局数组中保存的数据总是应当保持充分的怀疑。

需要补充的是,使用$clean可以帮助思考还有什么没有被过滤,这更类似一个白名单的作用。可以提升安全的等级。

如果仅仅将验证过的数据保存在$clean,在数据验证上仅存的风险是你所引用的数组元素不存在,而不是未过滤的危险数据。

PHP数据过滤的时机

一旦 PHP 脚本开始执行,则意味着 HTTP 请求已经全部结束。此时,用户便没有机会向脚本发送数据。因此,没有数据可以被输入到脚本中(甚至register_globals被开启的情况下)。这就是为什么初始化变量是非常好的习惯。

以上就是PHP中怎么实现数据过滤,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注编程网行业资讯频道。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯