php過濾表單

① thinkphp提交帶有style標簽的表單都會過濾掉，可以讓他不過濾嗎

1. 提交時用escape把字元串編碼，輸出時unescape再解碼

2. 自己網路html實體字元，進行替換

3. 修改php

比較內推薦1，而且編容碼之前可以自己把危險標簽去掉，比如iframe和script

1，2用js在表單的onsubmit里完成

② php如何隱藏表單

方法一 關閉事件函數

方法二 隱藏前給它賦個值

③ php自定義一個函數用來過濾表單的。。比如說filter($_POST)；調用filter函數的時

|function filter($array){
foreach($array as $k=>$v){
$array[$k]=htmlspecialchars(strip_tags($v));
$array[$k]=eregi('select|容insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$array[$k];
}
}

④ php 表單過濾，比如上傳的文件只能為jpg，在打開文件時候設置

指望php是不行的.
要實現的話. 得裝瀏覽器控制項 或者 使用flash做上傳控制項 才可以...
html的上傳文件選擇是不限制擴展名的

⑤ php表單安全過濾究竟要怎麼做

首先在客戶端通過JS進行初步數據過來是有效的手段，但是請注意，一切在版客戶端進行的驗權證都是非安全的，都是可以繞過的

然後是在代碼層進行數據過濾，例如php有些函數可以用來進行一些簡單的過濾操作:
strip_tags 可以去掉文本內容中的所有html標簽
htmlspecialchars 可以對文本內容中的html標簽進行轉義
addslashes 可以對內容中的特殊符號進行轉義

這些函數可以進行初步過濾，然後具體的內容就需要自己編寫相應的規則了，例如清除js代碼或者其他的敏感詞彙，需要自己編寫對應的正則進行替換

最後則是在執行sql時進行一些安全操作，如pdo的預處理等

⑥ PHP如何篩選提交的表單內容生成新的表格

篩選什麼啊 你既然可以提交表單 那就在表單里邊填寫 你要提交的一些內容不就可以了嗎
幹嘛一定要篩選

⑦ php表單獲取用戶輸入數據後過濾的流程

addslashes
htmlspecialchars

mysql_real_escape_string
數字的可以用intval()，最好在之前就循環$_POST，挨個的addslashes或者其他函數。內
上面都可以，根容據需要來。

⑧ php+mysql通過表單獲取查詢條件，如果表單值為空，則該項不查詢怎麼實現

oracle中：select nvl(欄位名版,0) from 表名;
sqlserver中：select isnull(欄位名,0) from 表名;
mysql中：select ifnull(欄位名,0) from 表名;
mysql舉例：

select a.stu_id,a.course_id,(IFNULL(a.score,0)+IFNULL(b.score,0)) score
from a left join b
on a.stu_id = b.stu_id and a.course_id = b.course_id

——權——————————————

⑨ 高分求php表單過濾代碼。

要防止sql注入，過濾表單輸入固然重要，但還需要從其他方面一起入手

屏蔽用戶輸入特殊字元的實質是，禁止用戶利用程序漏洞拼裝出一些我們不想讓用戶執行的SQL

例如：

$sql="SELECT*FROMtableWHEREuser='$_POST['user']'ANDpassword='$_POST['pwd']'";

用戶輸入

$_POST['user']='john';
$_POST['pwd']="'OR''='";

要麼實際執行的sql就是

SELECT*FROMtableWHEREuser='john'ANDpassword=''OR''=''

所以我們要對用戶的輸入做出處理，避免這種情況的發生

對於表單輸入，必要的過濾是需要的，對於每一個輸入可以寫一個function來篩一下

例如：

$user_name=clean($_POST['user']);
functionclean($v){
if(get_magic_quotes_gpc()){
$v=stripslashes($v);
}
//轉義字元串中的特殊字元
$v=mysql_real_escape_string($v);
return$v;
}

至於內容中包含一些sql的關鍵字，其實不用太過緊張，但是在sql語句中必須處理

例如：

INSERTINTOtableVALUES('xxx','xxx','xxx')

要保證每個值都被單引號包起來

SELECT，UPDATE，DELETE中的WHERE條件也是如此，但凡以用戶輸入的部分作為參數的，都得用單引號括起來，這樣就能有效防止sql注入

⑩ JS中的表單，怎樣用PHP過濾用戶名和密碼

js中表單想用戶體驗好點，使用滑鼠移開表單 ajax提交用戶名後台php正常驗證在返回正確失敗