在網(wǎng)站中表單提交或url獲取值我們都可能碰到一些安全問題,下面我總結(jié)了一些常用的過濾一些危險(xiǎn)特殊字符的解決方法,一般,對于傳進(jìn)來的字符，php可以用addslashes函數(shù)處理一遍（要get_magic_quotes_gpc()為假才處理，不然就重復(fù)轉(zhuǎn)義了?。?，這樣就能達(dá)到一定程度的安全要求,比如這樣,代碼如下:

1. if (!get_magic_quotes_gpc()) {      
2.      add_slashes($_GET);      
3.      add_slashes($_POST);      
4.      add_slashes($_COOKIE);      
5. }      
6.       
7. function add_slashes($string) {      
8.      if (is_array($string)) {      
9.          foreach ($string as $key => $value) {      
10.              $string[$key] = add_slashes($value);      
11.          }      
12.      } else {      
13.          $string = addslashes($string);      
14.      }  
15.      return $string;      
16. } 

但是還可以更進(jìn)一步進(jìn)行重新編碼,解碼,代碼如下:

//編碼 

1. function htmlencode($str) {       
2.       if(emptyempty($str)) return;  
3.       if($str=="") return $str;        
4.       $str=trim($str);  
5.       $str=str_replace("&","&",$str);  
6.       $str=str_replace(">",">",$str);  
7.       $str=str_replace("<","<",$str);  
8.       $str=str_replace(chr(32)," ",$str);  
9.       $str=str_replace(chr(9)," ",$str);  
10.       $str=str_replace(chr(34),"&",$str);  
11.       $str=str_replace(chr(39),"'",$str);  
12.       $str=str_replace(chr(13),"<br />",$str);  
13.       $str=str_replace("'","''",$str);  
14.       $str=str_replace("select","select",$str);  
15.       $str=str_replace("join","join",$str);  
16.       $str=str_replace("union","union",$str);  
17.       $str=str_replace("where","where",$str);  
18.       $str=str_replace("insert","insert",$str);  
19.       $str=str_replace("delete","delete",$str);  
20.       $str=str_replace("update","update",$str);  
21.       $str=str_replace("like","like",$str);  
22.       $str=str_replace("drop","drop",$str);  
23.       $str=str_replace("create","create",$str);  
24.       $str=str_replace("modify","modify",$str);  
25.       $str=str_replace("rename","rename",$str);  
26.       $str=str_replace("alter","alter",$str);  
27.       $str=str_replace("cast","cas",$str);        
28.       return $str;   
29. } 

這樣就能更放心的對外來數(shù)據(jù)進(jìn)行入庫處理了,但是從數(shù)據(jù)庫取出來,在前臺(tái)顯示的時(shí)候,必須重新解碼一下,代碼如下:

1. //解碼 
2.  
3. function htmldecode($str) {       
4.       if(emptyempty($str)) return;  
5.       if($str=="")  return $str;  
6.       $str=str_replace("select","select",$str);  
7.       $str=str_replace("join","join",$str);  
8.       $str=str_replace("union","union",$str);  
9.       $str=str_replace("where","where",$str);  
10.       $str=str_replace("insert","insert",$str);  
11.       $str=str_replace("delete","delete",$str);  
12.       $str=str_replace("update","update",$str);  
13.       $str=str_replace("like","like",$str);  
14.       $str=str_replace("drop","drop",$str);  
15.       $str=str_replace("create","create",$str);  
16.       $str=str_replace("modify","modify",$str);  
17.       $str=str_replace("rename","rename",$str);  
18.       $str=str_replace("alter","alter",$str);  
19.       $str=str_replace("cas","cast",$str);  
20.       $str=str_replace("&","&",$str);  
21.       $str=str_replace(">",">",$str);  
22.       $str=str_replace("<","<",$str);  
23.       $str=str_replace(" ",chr(32),$str);  
24.       $str=str_replace(" ",chr(9),$str);  
25.       $str=str_replace("&",chr(34),$str);  
26.       $str=str_replace("'",chr(39),$str);  
27.       $str=str_replace("<br />",chr(13),$str);  
28.       $str=str_replace("''","'",$str);   //開源代碼phpfensi.com     
29.       return $str;  
30. } 

雖然多了一步編碼,解碼的過程,但是安全方面,會(huì)更進(jìn)一步,要如何做,自己取舍吧.

再附一些代碼如下:

1. function safe_replace($string) { 
2.  $string = str_replace(' ','',$string); 
3.  $string = str_replace(''','',$string); 
4.  $string = str_replace(''','',$string); 
5.  $string = str_replace('*','',$string); 
6.  $string = str_replace('"','"',$string); 
7.  $string = str_replace("'",'',$string); 
8.  $string = str_replace('"','',$string); 
9.  $string = str_replace(';','',$string); 
10.  $string = str_replace('<','<',$string); 
11.  $string = str_replace('>','>',$string); 
12.  $string = str_replace("{",'',$string); 
13.  $string = str_replace('}','',$string); 
14.  return $string; 
15. } 
16.  
17. //更全面的代碼如下: 
18.  
19. //處理提交的數(shù)據(jù)  
20. function htmldecode($str) {  
21.  if (emptyempty ( $str ) || "" == $str) {  
22.  return "";  
23.  }  
24.    
25.  $str = strip_tags ( $str );  
26.  $str = htmlspecialchars ( $str );  
27.  $str = nl2br ( $str );  
28.  $str = str_replace ( "?", "", $str );  
29.  $str = str_replace ( "*", "", $str );  
30.  $str = str_replace ( "!", "", $str );  
31.  $str = str_replace ( "~", "", $str );  
32.  $str = str_replace ( "$", "", $str );  
33.  $str = str_replace ( "%", "", $str );  
34.  $str = str_replace ( "^", "", $str );  
35.  $str = str_replace ( "^", "", $str );  
36.  $str = str_replace ( "select", "", $str );  
37.  $str = str_replace ( "join", "", $str );  
38.  $str = str_replace ( "union", "", $str );  
39.  $str = str_replace ( "where", "", $str );  
40.  $str = str_replace ( "insert", "", $str );  
41.  $str = str_replace ( "delete", "", $str );  
42.  $str = str_replace ( "update", "", $str );  
43.  $str = str_replace ( "like", "", $str );  
44.  $str = str_replace ( "drop", "", $str );  
45.  $str = str_replace ( "create", "", $str );  
46.  $str = str_replace ( "modify", "", $str );  
47.  $str = str_replace ( "rename", "", $str );  
48.  $str = str_replace ( "alter", "", $str );  
49.  $str = str_replace ( "cast", "", $str );  
50.    
51.  $farr = array ("http://s+/", //過濾多余的空白  
52. "/<(//?)(img|script|i?frame|style|html|body|title|link|meta|/?|/%)([^>]*?)>/isU", //過濾 <script 防止引入惡意內(nèi)容或惡意代碼,如果不需要插入flash等,還可以加入<object的過濾  
53. "/(<[^>]*)on[a-zA-Z]+/s*=([^>]*>)/isU" )//過濾javascript的on事件  
54. ;  
55.  $tarr = array (" ", "", //如果要直接清除不安全的標(biāo)簽，這里可以留空  
56. "" );  
57.  return $str;  
58. } 

　　哈爾濱品用軟件有限公司致力于為哈爾濱的中小企業(yè)制作大氣、美觀的優(yōu)秀網(wǎng)站，并且能夠搭建符合百度排名規(guī)范的網(wǎng)站基底，使您的網(wǎng)站無需額外費(fèi)用，即可穩(wěn)步提升排名至首頁。歡迎體驗(yàn)最佳的哈爾濱網(wǎng)站建設(shè)。