在将表单输入存储到数据库之前,我通常使用此功能来清理表单输入:
//Function to sanitize values received from the form. Prevents SQL injection
function clean($str) {
$str = @trim($str);
if(get_magic_quotes_gpc()) {
$str = stripslashes($str);
}
return mysql_real_escape_string($str);
}
mysql_real_escape_string需要一个数据库连接,因为我只在将数据存储到数据库之前清理数据时使用它。使用filter_var()函数
http://php.net/manual/zh/function.filter-var.php
例如,如果要对电子邮件进行净化:
$_POST['email'] = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
发送消息
$_POST['message'] = filter_var($_POST['message'], FILTER_SANITIZE_STRING);
足够了
使用mysql_real_escape_string对数据进行清理的目的是为了避免SQL注入。如果您不使用SQL,那么您已经免疫了。
男性不会患宫颈癌。
使用适合需要避免的特殊字符的清理函数。理想情况下,不要剥离不会造成伤害的内容。
SELECT * FROM table WHERE name = 'it's me' # error!
在数据被转义后,您的数据变成了'it\'s me',并且没有错误。
因此,此函数仅适用于SQL查询和仅包含在引号中的数据。
因此,如果没有引号,仅执行mysql_real_escape_string是没有意义的。mysql_real_escape_string应该使用:
a)单独使用。例如trim或stripslashes与此无关
b)在组合查询字符串之前而不是其他地方
c)仅与将要包含在引号中的数据一起使用。
d)所有其他数据需要另外的净化方式
至于电子邮件,如果您将其作为纯文本发送,则不需要进行任何净化。
您唯一需要注意的是防止邮件注入
不过这没什么大不了的。只需将用户输入放入消息正文即可。不要放入主题、收件人、发件人或任何其他标题。仅限于消息正文。这样就安全了
我是stackoverflow的新手,如果我的回答样式有错/做得不好,请随时告诉我。
如果我理解有误,欢迎纠正,因为我现在也遇到了同样的问题。但是我认为接受的答案使用filter_var不足以防止攻击者使用Unicode绕过此筛选。
例如:"& #66;& #99;& #99;& #58;"(添加空格以便stackoverflow正确显示)
这不会从字符串中删除,并且稍后将被替换为"Bcc:"。
这是我的解决方案,但可能还有更好的方法。 如果有人知道更好的方式,请告诉我。
$string = str_replace("&", "(and)", $string);
$string = str_replace("#", "(num)", $string);
$string = str_replace(";", "(semi-colon)", $string);
$string = str_replace(":", "(colon)", $string);
$string = str_replace("@", "(at)", $string);
$string = str_replace("\\", "(backslash)", $string);
$string = filter_var($string, FILTER_SANITIZE_STRING);