php過濾get參數

❶ php中，通過$_GET 和 $_POST 取得的數據 安不安全 需要什麼過濾函數處理嗎

引號過濾有magic_quotes_gpc(伺服器配置)

函數addslashes() htmlspecialchars(,ENT_QUOTE);

注意伺服器上是否已經開啟magic_quotes_gpc
(php>=5.3 已經廢棄了它) 如果已經開啟，再進行轉義會導致雙層轉義。 另外addslashes() addcslashes() 都不能對數組進行處理，需要寫一個遞歸實現。
你可以使用函數get_magic_quotes_gpc()來檢測它是否已經開啟

不建議使用addslashes使用addslashes可能會因為資料庫編碼的問題使得單引號未被轉義了解詳情可訪問:http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string

❷ PHP中有必要過濾URL傳遞過來的參數嗎 - PHP進階討論

很多注入式攻擊就是通過簡單的url傳遞過來的，一般的原則是不要相信任何用戶的輸入

❸ PHP $_GET方法傳過來參數過濾問題求高手指導一二！！

搜索怎麼會有SQL注入呢??? 只有添加的時候才可能有SQL注入
在保險一點用 mysqli_real_escape_string()來解析傳過來的字元串 讓所有的內容遠洋輸出

❹ 請問PHP怎麼過濾GET或者POST的參數防止js注入，或者一些html注入請請提供代碼參考謝謝！

string mysql_real_escape_string ( string unescaped_string [, resource link_identifier])

本函數將 unescaped_string 中的特殊字元轉義，並計及連接的當前字元集，因此可以安全用於 mysql_query()。
注專: mysql_real_escape_string() 並不轉義 % 和屬 _。
例子 1. mysql_real_escape_string() 例子
<?php
$item = "Zak's and Derick's Laptop";
$escaped_item = mysql_real_escape_string($item);
printf ("Escaped string: %s\n", $escaped_item);
?>
以上例子將產生如下輸出：
Escaped string: Zak\'s and Derick\'s Laptop

❺ php 純數字url參數安全過濾代碼

標准答案我就不知道了,只是我個人的理解大概是這個方面要注意:
1 [POST/GET]頁面參數傳值/字元串輸入/數據入庫等類似動作都要做好嚴格的危險字元過濾處理.
2 相關PHP的I/O操作,需要注意限制許可權,文件名或目錄名或內容都要做好過濾處理.
3 敏感信息(如PASSWORD/銀行帳號等)不要依賴COOKIE,SESSION,最好讀表,並盡量緩存讀表數據.
4 注意對網站根目錄及下面所有子目錄及文件的許可權控制與保護,不要讓配置文件/系統信息等文件暴露.
5 要完全屏掉所有出錯提示,或者能捕獲所有出錯並重新定製輸出,以防報錯信息泄露你的網站及相關文件路徑,MYSQL欄位/網站環境等.
6 所有對庫表的寫入與讀取操作都需要做好訪問來路限制/同IP同內容讀寫間隔限制/並驗證POST與GET的指定標識KEY的有效性等這些安全動作.
7 有類似文件下載/或文本流下載等功能的,盡量不要在URL裡面直接調用目標文件地址的方式來做,最好是傳ID或是指定的NAME標識.
8 MYSQL 的用戶最好分開,不要用ROOT用戶來連接MYSQL,另建專用用戶,並限制死此用戶的許可權,只能操作指定的庫,最好去掉此用戶的命令行導入導出的許可權等這些危險的許可權.

❻ PHP 對get參數過濾在什麼情況下需要

你可以不過濾。畢竟做過濾也是需要損耗一定的系統資源的，過濾的地方越多就越損耗效率。所以在必要的地方加上必要的過濾是必須的，但是在不需要過濾的地方加過濾只是多此一舉，這些是需要程序員平常對應用場景有較深的理解。

❼ PHP if ($_GET['key'] 過濾

正則會寫嗎？
比如只要英文字元可以這樣寫。
$str = $_GET['key'];

if(!preg_match('/^[A-Za-z]+$/')) exit('script type="text/javascript">alert("數據不合法！");history.back(-1);</script>')

❽ php 怎樣過濾 ，地址欄指定參數

substr(0,strpos('&',$url),$url)
就是截取

❾ PHP怎麼過濾GET或者POST的參數怎麼樣才能保證代碼不被注入

//本人在 TP 框架中的過濾函數。// Input 類是 TP 供給內的容。function inputFilter($content){ if(is_string($content) ) { return Input::getVar($content); } elseif(is_array($content)){ foreach ( $content as $key => $val ) { $content[$key] = inputFilter($val); } return $content; } elseif(is_object($content)) { $vars = get_object_vars($content); foreach($vars as $key=>$val) { $content->$key = inputFilter($val); } return $content; } else{ return $content; }}

❿ php傳遞參數過濾

strpos或者stripos函數可以滿足你的要求，他們都是搜索你指定的字元並返回其對應位置的。
不同的是stripos對大小寫不敏感，而strpos對大小寫敏感。
使用方法：
stripos(string,find,start)
strpos(string,find,start)

string 必需。規定被搜索的字元串。
find 必需。規定要查找的字元。
start 可選。規定開始搜索的位置。

具體判定與修改就由你自己寫比較好，這樣從簡單的代碼寫起來才能真正掌握PHP的編寫，對你的成長也是比較好的。