php上傳過濾

『壹』 php 關於thinkphp的防sql注入跟過濾問題

防止SQL注入
opensns
對於WEB應用來說，SQL注入攻擊無疑是首要防範的安全問題，系統底層對於數據安全方面本身進行了很多的處理和相應的防範機制，例如：
$User = M("User"); // 實例化User對象
$User->find($_GET["id"]);
即便用戶輸入了一些惡意的id參數，系統也會強制轉換成整型，避免惡意注入。這是因為，系統會對數據進行強制的數據類型檢測，並且對數據來源進行數據格式轉換。而且，對於字元串類型的數據，ThinkPHP都會進行escape_string處理(real_escape_string,mysql_escape_string)。
通常的安全隱患在於你的查詢條件使用了字元串參數，然後其中一些變數又依賴由客戶端的用戶輸入，要有效的防止SQL注入問題，我們建議：
查詢條件盡量使用數組方式，這是更為安全的方式；
如果不得已必須使用字元串查詢條件，使用預處理機制（3.1版本新增特性）；
開啟數據欄位類型驗證，可以對數值數據類型做強制轉換；（3.1版本開始已經強制進行欄位類型驗證了）
使用自動驗證和自動完成機制進行針對應用的自定義過濾；
欄位類型檢查、自動驗證和自動完成機制我們在相關部分已經有詳細的描述。
查詢條件預處理
where方法使用字元串條件的時候，支持預處理（安全過濾），並支持兩種方式傳入預處理參數，例如：
$Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();
或者
$Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();
模型的query和execute方法 同樣支持預處理機制，例如：
$model->query('select * from user where id=%d and status=%d',$id,$status);
或者
$model->query('select * from user where id=%d and status=%d',array($id,$status));
execute方法用法同query方法。

『貳』 PHP 正則過濾圖片的代碼

$oldhtml = "<div><span><img src=\"11\" />111111<img src=\"33\" /><img src=\"22\" /></span></div>";
$pattern = "#<img[^>]+>#";
$html = preg_replace ($pattern , "" , $oldhtml);
輸出的結果就替換掉所有圖片了

『叄』 php 如何過濾漢字啊

用正則過濾，使用[xa0-xff]可以匹配漢字

echopreg_replace('([xa0-xff]+)','',$txt);

『肆』 php中數據過濾的問題

我來解釋一下吧
preg_replace('/[\\x00-\\x08\\x0B\\x0C\\x0E-\\x1F]/','',$string);

去掉控制字元，你google一下ascii table就知道了，php裡面 - 代表范圍，比如\x00-\x08指的是ASCII代碼在\x00到\x08范圍的字元，\x0A和\x0D代表回車換行，所以沒包含在這個裡面，否則直接\x00-\x1F了，

$string = str_replace(array("\0","%00","\r"),'',$string);
\0表示ASCII 0x00的字元，通常作為字元串結束標志

$string = preg_replace("/&(?!(#[0-9]+|[a-z]+);)/si",'&',$string);

我們知道HTML裡面可以用&#xxx;來對一些字元進行編碼，比如 (空格), ߷ Unicode字元等，A(?!B) 表示的是A後面不是B,所以作者想保留 ߷類似的 HTML編碼字元，去掉其他的問題字元，比如 &123; &#nbsp;

str_replace(array("%3C",'<'),'<',$string);

第一個'<'多餘吧，%3C是編碼以後的 <, 一般用在URL編碼里

str_replace(array("%3E",'>'),'>',$string);

str_replace(array('"',"'","\t",' '),array('"',"'",'',''),$string);

略過

有問題再追問

『伍』 用php過濾html部分標簽

$str=preg_replace("/\s+/", " ", $str); //過濾多餘回車
$str=preg_replace("/<[ ]+/si","<",$str); //過濾<__("<"號後面帶空格)

$str=preg_replace("/<\!--.*?-->/si","",$str); //注釋
$str=preg_replace("/<(\!.*?)>/si","",$str); //過濾DOCTYPE
$str=preg_replace("/<(\/?html.*?)>/si","",$str); //過濾html標簽
$str=preg_replace("/<(\/?head.*?)>/si","",$str); //過濾head標簽
$str=preg_replace("/<(\/?meta.*?)>/si","",$str); //過濾meta標簽
$str=preg_replace("/<(\/?body.*?)>/si","",$str); //過濾body標簽
$str=preg_replace("/<(\/?link.*?)>/si","",$str); //過濾link標簽
$str=preg_replace("/<(\/?form.*?)>/si","",$str); //過濾form標簽
$str=preg_replace("/cookie/si","COOKIE",$str); //過濾COOKIE標簽

$str=preg_replace("/<(applet.*?)>(.*?)<(\/applet.*?)>/si","",$str); //過濾applet標簽
$str=preg_replace("/<(\/?applet.*?)>/si","",$str); //過濾applet標簽

$str=preg_replace("/<(style.*?)>(.*?)<(\/style.*?)>/si","",$str); //過濾style標簽
$str=preg_replace("/<(\/?style.*?)>/si","",$str); //過濾style標簽

$str=preg_replace("/<(title.*?)>(.*?)<(\/title.*?)>/si","",$str); //過濾title標簽
$str=preg_replace("/<(\/?title.*?)>/si","",$str); //過濾title標簽

$str=preg_replace("/<(object.*?)>(.*?)<(\/object.*?)>/si","",$str); //過濾object標簽
$str=preg_replace("/<(\/?objec.*?)>/si","",$str); //過濾object標簽

$str=preg_replace("/<(noframes.*?)>(.*?)<(\/noframes.*?)>/si","",$str); //過濾noframes標簽
$str=preg_replace("/<(\/?noframes.*?)>/si","",$str); //過濾noframes標簽

$str=preg_replace("/<(i?frame.*?)>(.*?)<(\/i?frame.*?)>/si","",$str); //過濾frame標簽
$str=preg_replace("/<(\/?i?frame.*?)>/si","",$str); //過濾frame標簽

$str=preg_replace("/<(script.*?)>(.*?)<(\/script.*?)>/si","",$str); //過濾script標簽
$str=preg_replace("/<(\/?script.*?)>/si","",$str); //過濾script標簽
$str=preg_replace("/javascript/si","Javascript",$str); //過濾script標簽
$str=preg_replace("/vbscript/si","Vbscript",$str); //過濾script標簽
$str=preg_replace("/on([a-z]+)\s*=/si","On\\1=",$str); //過濾script標簽
$str=preg_replace("/&#/si","&＃",$str); //過濾script標簽，如javAsCript:alert(

清除空格，換行

function DeleteHtml($str)
{
$str = trim($str);
$str = strip_tags($str,"");
$str = ereg_replace("\t","",$str);
$str = ereg_replace("\r\n","",$str);
$str = ereg_replace("\r","",$str);
$str = ereg_replace("\n","",$str);
$str = ereg_replace(" "," ",$str);
return trim($str);
}

過濾HTML屬性

1，過濾所有html標簽的正則表達式：

復制代碼 代碼如下:

</?[^>]+>

//過濾所有html標簽的屬性的正則表達式：

$html = preg_replace("/<([a-zA-Z]+)[^>]*>/","<\\1>",$html);

3，過濾部分html標簽的正則表達式的排除式（比如排除<p>，即不過濾<p>）：

復制代碼 代碼如下:

</?[^pP/>]+>

4，過濾部分html標簽的正則表達式的枚舉式（比如需要過濾<a><p><b>等）：

復制代碼 代碼如下:

</?[aApPbB][^>]*>

5，過濾部分html標簽的屬性的正則表達式的排除式（比如排除alt屬性，即不過濾alt屬性）：

復制代碼 代碼如下:

\s(?!alt)[a-zA-Z]+=[^\s]*

6，過濾部分html標簽的屬性的正則表達式的枚舉式（比如alt屬性）：

復制代碼 代碼如下:

(\s)alt=[^\s]*

『陸』 php多條件查詢問題，怎麼過濾空值

是的正如你所說有兩種解決方案，第一種是採用PHP的方式，先判斷數據的合法性，比如是否提交了空值(推薦使用，沒有垃圾數據)；第二種不做任何判斷，空值也能提交到資料庫，只是在SQL查詢時過濾空值數據(不推薦使用，有垃圾數據)。

解決方案1(通過PHP過濾空值數據)：

if($_POST['欄位']=='')exit('<scripttype="text/javascript">alert("數據不合法！");history.back();</script>');//依此類推，逐一判斷表單$_POST數據

解決方案2(通過SQL查詢來過濾空值數據)：

SELECT`欄位名`FROM`表名`WHERE`欄位1`NOTIN('',NULL)AND`欄位2`NOTIN('',NULL)...;

以上就是兩種解決方案，我推薦兩種方案組合使用，這樣確保萬無一失，如有問題歡迎追問~

『柒』 求php防止被sql 注入攻擊的過濾用戶輸入內容的函數

functionclean($v){
//判斷magic_quotes_gpc是否為打開
if(!get_magic_quotes_gpc()){
//進行magic_quotes_gpc沒有打開的情況對提交數據的過濾
$v=addslashes($v);
}
//把'_'過濾掉
$v=str_replace("_","\_",$v);
//把'%'過濾掉
$v=str_replace("%","\%",$v);
//把'*'過濾掉
$v=str_replace("*","*",$v);
//回車轉換
$v=nl2br($v);
//html標記轉換
$v=htmlspecialchars($v);
return$v;
}

如果需要，還可以屏蔽一下危險字元，例如insert， update， delete等

//將update去掉
$v=str_replace("update","",$v);

最後，在拼裝sql語句時，用戶輸入的東西，全括在單引號內