php过滤表单

① thinkphp提交带有style标签的表单都会过滤掉，可以让他不过滤吗

1. 提交时用escape把字符串编码，输出时unescape再解码

2. 自己网络html实体字符，进行替换

3. 修改php

比较内推荐1，而且编容码之前可以自己把危险标签去掉，比如iframe和script

1，2用js在表单的onsubmit里完成

② php如何隐藏表单

方法一 关闭事件函数

方法二 隐藏前给它赋个值

③ php自定义一个函数用来过滤表单的。。比如说filter($_POST)；调用filter函数的时

|function filter($array){
foreach($array as $k=>$v){
$array[$k]=htmlspecialchars(strip_tags($v));
$array[$k]=eregi('select|容insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile',$array[$k];
}
}

④ php 表单过滤，比如上传的文件只能为jpg，在打开文件时候设置

指望php是不行的.
要实现的话. 得装浏览器控件 或者 使用flash做上传控件 才可以...
html的上传文件选择是不限制扩展名的

⑤ php表单安全过滤究竟要怎么做

首先在客户端通过JS进行初步数据过来是有效的手段，但是请注意，一切在版客户端进行的验权证都是非安全的，都是可以绕过的

然后是在代码层进行数据过滤，例如php有些函数可以用来进行一些简单的过滤操作:
strip_tags 可以去掉文本内容中的所有html标签
htmlspecialchars 可以对文本内容中的html标签进行转义
addslashes 可以对内容中的特殊符号进行转义

这些函数可以进行初步过滤，然后具体的内容就需要自己编写相应的规则了，例如清除js代码或者其他的敏感词汇，需要自己编写对应的正则进行替换

最后则是在执行sql时进行一些安全操作，如pdo的预处理等

⑥ PHP如何筛选提交的表单内容生成新的表格

筛选什么啊 你既然可以提交表单 那就在表单里边填写 你要提交的一些内容不就可以了吗
干嘛一定要筛选

⑦ php表单获取用户输入数据后过滤的流程

addslashes
htmlspecialchars

mysql_real_escape_string
数字的可以用intval()，最好在之前就循环$_POST，挨个的addslashes或者其他函数。内
上面都可以，根容据需要来。

⑧ php+mysql通过表单获取查询条件，如果表单值为空，则该项不查询怎么实现

oracle中：select nvl(字段名版,0) from 表名;
sqlserver中：select isnull(字段名,0) from 表名;
mysql中：select ifnull(字段名,0) from 表名;
mysql举例：

select a.stu_id,a.course_id,(IFNULL(a.score,0)+IFNULL(b.score,0)) score
from a left join b
on a.stu_id = b.stu_id and a.course_id = b.course_id

——权——————————————

⑨ 高分求php表单过滤代码。

要防止sql注入，过滤表单输入固然重要，但还需要从其他方面一起入手

屏蔽用户输入特殊字符的实质是，禁止用户利用程序漏洞拼装出一些我们不想让用户执行的SQL

例如：

$sql="SELECT*FROMtableWHEREuser='$_POST['user']'ANDpassword='$_POST['pwd']'";

用户输入

$_POST['user']='john';
$_POST['pwd']="'OR''='";

要么实际执行的sql就是

SELECT*FROMtableWHEREuser='john'ANDpassword=''OR''=''

所以我们要对用户的输入做出处理，避免这种情况的发生

对于表单输入，必要的过滤是需要的，对于每一个输入可以写一个function来筛一下

例如：

$user_name=clean($_POST['user']);
functionclean($v){
if(get_magic_quotes_gpc()){
$v=stripslashes($v);
}
//转义字符串中的特殊字符
$v=mysql_real_escape_string($v);
return$v;
}

至于内容中包含一些sql的关键字，其实不用太过紧张，但是在sql语句中必须处理

例如：

INSERTINTOtableVALUES('xxx','xxx','xxx')

要保证每个值都被单引号包起来

SELECT，UPDATE，DELETE中的WHERE条件也是如此，但凡以用户输入的部分作为参数的，都得用单引号括起来，这样就能有效防止sql注入

⑩ JS中的表单，怎样用PHP过滤用户名和密码

js中表单想用户体验好点，使用鼠标移开表单 ajax提交用户名后台php正常验证在返回正确失败