什么是最好的PHP输入过滤函数？

Question

什么是最好的PHP输入过滤函数？

176

我正在尝试编写一个函数，可以将所有字符串传递到其中进行清理，以便从中得到的字符串在插入数据库时是安全的。但是有很多过滤函数，我不确定我应该使用/需要哪些过滤函数。

请帮我填空：

function filterThis($string) {
    $string = mysql_real_escape_string($string);
    $string = htmlentities($string);
    etc...
    return $string;
}

- Lauren

4

对于插入操作，只使用mysql_real_escape_string来防止SQL注入是可行的。但当你在使用SELECT查询到的数据时（用于HTML输出或PHP公式/函数中），应该使用htmlentities函数处理。 - davidosomething

1

参见 https://dev59.com/oHVD5IYBdhLWcg3wL4cA#60496，其中有一个特定于数据库插入清理的答案（它给出了 PDO 的示例，其他人在下面也提到了）。 - Pat

14个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- T.Todua · Answer 1

1）使用原生的 PHP过滤器，我得到了以下结果：

（源代码：https://RunForgithub.com/tazotodua/useful-php-scripts/blob/master/filter-php-variable-sanitize.php）

- Stanton · Answer 2

如您所提到的，您正在使用SQL过滤，我建议您使用PDO和预处理语句。这将大大提高您的保护水平，但请进一步研究对传递给SQL的任何用户输入进行过滤。

要使用预处理语句，请参见以下示例。您有带有?的sql值，然后使用3个字符串'sss'绑定这些值，分别为firstname、lastname和email。

// 准备并绑定 $stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $firstname, $lastname, $email);

- Kuntur · Answer 3

对于所有在这里谈论并依赖mysql_real_escape_string的人，你需要注意该函数在PHP5上已被弃用，在PHP7中不再存在。

我个人认为，完成这个任务的最佳方式是使用PDO通过参数化查询与数据库交互。请查看：https://phpdelusions.net/pdo_examples/select

始终使用过滤器处理用户输入。请参见http://php.net/manual/es/function.filter-input.php

- stkmedia · Answer 4

function sanitize($string, $dbmin, $dbmax) {
    $string = preg_replace('#[^a-z0-9]#i', '', $string); // Useful for strict cleanse, alphanumeric here
    $string = mysqli_real_escape_string($con, $string); // Get it ready for the database
    if(strlen($string) > $dbmax ||
       strlen($string) < $dbmin) {

        echo "reject_this"; exit();
    }
    return $string;
}