php过滤get参数

❶ php中，通过$_GET 和 $_POST 取得的数据 安不安全 需要什么过滤函数处理吗

引号过滤有magic_quotes_gpc(服务器配置)

函数addslashes() htmlspecialchars(,ENT_QUOTE);

注意服务器上是否已经开启magic_quotes_gpc
(php>=5.3 已经废弃了它) 如果已经开启，再进行转义会导致双层转义。 另外addslashes() addcslashes() 都不能对数组进行处理，需要写一个递归实现。
你可以使用函数get_magic_quotes_gpc()来检测它是否已经开启

不建议使用addslashes使用addslashes可能会因为数据库编码的问题使得单引号未被转义了解详情可访问:http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string

❷ PHP中有必要过滤URL传递过来的参数吗 - PHP进阶讨论

很多注入式攻击就是通过简单的url传递过来的，一般的原则是不要相信任何用户的输入

❸ PHP $_GET方法传过来参数过滤问题求高手指导一二！！

搜索怎么会有SQL注入呢??? 只有添加的时候才可能有SQL注入
在保险一点用 mysqli_real_escape_string()来解析传过来的字符串 让所有的内容远洋输出

❹ 请问PHP怎么过滤GET或者POST的参数防止js注入，或者一些html注入请请提供代码参考谢谢！

string mysql_real_escape_string ( string unescaped_string [, resource link_identifier])

本函数将 unescaped_string 中的特殊字符转义，并计及连接的当前字符集，因此可以安全用于 mysql_query()。
注专: mysql_real_escape_string() 并不转义 % 和属 _。
例子 1. mysql_real_escape_string() 例子
<?php
$item = "Zak's and Derick's Laptop";
$escaped_item = mysql_real_escape_string($item);
printf ("Escaped string: %s\n", $escaped_item);
?>
以上例子将产生如下输出：
Escaped string: Zak\'s and Derick\'s Laptop

❺ php 纯数字url参数安全过滤代码

标准答案我就不知道了,只是我个人的理解大概是这个方面要注意:
1 [POST/GET]页面参数传值/字符串输入/数据入库等类似动作都要做好严格的危险字符过滤处理.
2 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理.
3 敏感信息(如PASSWORD/银行帐号等)不要依赖COOKIE,SESSION,最好读表,并尽量缓存读表数据.
4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露.
5 要完全屏掉所有出错提示,或者能捕获所有出错并重新定制输出,以防报错信息泄露你的网站及相关文件路径,MYSQL字段/网站环境等.
6 所有对库表的写入与读取操作都需要做好访问来路限制/同IP同内容读写间隔限制/并验证POST与GET的指定标识KEY的有效性等这些安全动作.
7 有类似文件下载/或文本流下载等功能的,尽量不要在URL里面直接调用目标文件地址的方式来做,最好是传ID或是指定的NAME标识.
8 MYSQL 的用户最好分开,不要用ROOT用户来连接MYSQL,另建专用用户,并限制死此用户的权限,只能操作指定的库,最好去掉此用户的命令行导入导出的权限等这些危险的权限.

❻ PHP 对get参数过滤在什么情况下需要

你可以不过滤。毕竟做过滤也是需要损耗一定的系统资源的，过滤的地方越多就越损耗效率。所以在必要的地方加上必要的过滤是必须的，但是在不需要过滤的地方加过滤只是多此一举，这些是需要程序员平常对应用场景有较深的理解。

❼ PHP if ($_GET['key'] 过滤

正则会写吗？
比如只要英文字符可以这样写。
$str = $_GET['key'];

if(!preg_match('/^[A-Za-z]+$/')) exit('script type="text/javascript">alert("数据不合法！");history.back(-1);</script>')

❽ php 怎样过滤 ，地址栏指定参数

substr(0,strpos('&',$url),$url)
就是截取

❾ PHP怎么过滤GET或者POST的参数怎么样才能保证代码不被注入

//本人在 TP 框架中的过滤函数。// Input 类是 TP 供给内的容。function inputFilter($content){ if(is_string($content) ) { return Input::getVar($content); } elseif(is_array($content)){ foreach ( $content as $key => $val ) { $content[$key] = inputFilter($val); } return $content; } elseif(is_object($content)) { $vars = get_object_vars($content); foreach($vars as $key=>$val) { $content->$key = inputFilter($val); } return $content; } else{ return $content; }}

❿ php传递参数过滤

strpos或者stripos函数可以满足你的要求，他们都是搜索你指定的字符并返回其对应位置的。
不同的是stripos对大小写不敏感，而strpos对大小写敏感。
使用方法：
stripos(string,find,start)
strpos(string,find,start)

string 必需。规定被搜索的字符串。
find 必需。规定要查找的字符。
start 可选。规定开始搜索的位置。

具体判定与修改就由你自己写比较好，这样从简单的代码写起来才能真正掌握PHP的编写，对你的成长也是比较好的。