您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關PHP中怎么實現數據過濾,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
PHP數據過濾調度方法
這種方法是用一個單一的PHP腳本調度(通過 URL)。其他任何操作在必要的時候使用include或require包含進來。這種方法一般需要每個 URL 都傳遞一個單獨的GET變量用于調度。這個GET變量可以被認為是用來替代腳本名稱的更加簡化的設計。例如:
http://example.org/dispatch.php?task=print_formdispatch.php是***的根文件(Document root)。它可以讓開發者做兩件非常重要的事情:
在dispatch.php最開始實現一些全局的安全處理,并且確保這些處理不可以被繞過。容易確定在必要的地方進行數據過濾,特別是一些特殊目的的控制流操作中。看下面的例子以便進一步討論dispatch.php腳本:
< ?php
/* 全局安全處理 */
switch ($_GET['task']){case
'print_form':include '/inc/
presentation/form.inc';break;
case 'process_form':$form_valid = false;
include '/inc/logic/process.inc';
if ($form_valid){include '/inc/
presentation/end.inc';}else{include
'/inc/presentation/form.inc';}
break;default:include '/inc/presentation
/index.inc';break;
}
?>
如果這是***的可公開訪問到的 PHP 腳本,則可以確信的一點是這個程序的設計可以確保在最開始的全局安全處理無法被繞過。同時也讓開發者容易看到特定任務的控制流程。例如,不需要瀏覽整個代碼就可以容易的知道:當$form_valid為true時,end.inc是***顯示給用戶的;由于它在process.inc被包含之前,并剛剛初始化為false,可以確定的是process.inc的內部邏輯會將設置它為true;否則表單將再次顯示(可能會顯示相關的錯誤信息)。
PHP數據過濾要注意的問題
如果你使用目錄定向文件,如index.php(代替dispatch.php),你可以像這樣使用 URL 地址:http://example.org/?task=print_form。
你還可以使用ApacheForceType重定向或者mod_rewrite來調整 URL 地址:http://example.org/app/print-form。
PHP數據過濾的包含方法
另外一種方式是使用單獨一個模塊,這個模塊負責所有的安全處理。這個模塊被包含在所有公開的 PHP 腳本的最前端(或者非常靠前的部分)。參考下面的腳本security.inc
< ?php
switch ($_POST['form'])
{case 'login':
$allowed = array();
$allowed[] = 'form';
$allowed[] = 'username';
$allowed[] = 'password';
$sent = array_keys($_POST);
if ($allowed == $sent)
{include '/inc/logic/
process.inc';}break;
}
?>
在這個PHP數據過濾例中,每個提交過來的表單都認為應當含有form這個***驗證值,并且security.inc獨立處理表單中0需要過濾的數據。實現這個要求的HTML表單如下所示:
< form. action="/receive.php"
method="POST"><input type="hidden"
name="form" value="login" />< p>Username:
<input type="text" name="username" />
< /p>
< p>Password:<input
type="password" name="password" />< /p>
< input type="submit" />
< /form>
叫做$allowed的數組用來檢驗哪個表單變量是允許的, 這個列表在表單被處理前應當是一致的。流程控制決定要執行什么,而process.inc是真正過濾后的數據到達的地方。
注意
確保security.inc總是被包含在每個腳本的最開始的位置比較好的方法是使用auto_prepend_file設置。
PHP數據過濾的例子
建立白名單對于PHP數據過濾是非常重要的。由于不可能對每一種可能遇到的表單數據都給出例子,部分例子可以幫助你對此有一個大體的了解。
下面的代碼對郵件地址進行了驗證:
< ?php
$clean = array();
$email_pattern = '
/^[^@\s<&>]+@([-a-z0-9]+\.)
+[a-z]{2,}$/i';if (preg_match($email_
pattern, $_POST['email'])){$clean['email'] = $_POST
['email'];}?>
下面的PHP數據過濾代碼確保了$_POST['color']的內容是red,green,或者blue:
< ?php
$clean = array();
switch ($_POST['color'])
{case 'red':case 'green':case
'blue':$clean['color'] =
$_POST['color'];break;
}
?>
下面的PHP數據過濾代碼確保$_POST['num']是一個整數(integer):
< ?php
$clean = array();
if ($_POST['num'] ==
strval(intval($_
POST['num']))){$clean
['num'] = $_POST['num'];}
?>
下面的PHP數據過濾代碼確保$_POST['num']是一個浮點數(float):
< ?php
$clean = array();
if ($_POST['num'] ==
strval(floatval($_POST
['num']))){$clean['num']
= $_POST['num'];}
?>
PHP數據過濾的名字轉換
之前每個例子都使用了數組$clean。對于開發人員判斷數據是否有潛在的威脅這是一個很好的習慣。 永遠不要在對數據驗證后還將其保存在$_POST或者$_GET中,作為開發人員對超級全局數組中保存的數據總是應當保持充分的懷疑。
需要補充的是,使用$clean可以幫助思考還有什么沒有被過濾,這更類似一個白名單的作用。可以提升安全的等級。
如果僅僅將驗證過的數據保存在$clean,在數據驗證上僅存的風險是你所引用的數組元素不存在,而不是未過濾的危險數據。
PHP數據過濾的時機
一旦 PHP 腳本開始執行,則意味著 HTTP 請求已經全部結束。此時,用戶便沒有機會向腳本發送數據。因此,沒有數據可以被輸入到腳本中(甚至register_globals被開啟的情況下)。這就是為什么初始化變量是非常好的習慣。
以上就是PHP中怎么實現數據過濾,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。