通过 PHP 验证表单数据
我们要做的第一件事是通过 PHP 的 htmlspecialchars() 函数传递所有变量。
在我们使用 htmlspecialchars() 函数后,如果用户试图在文本字段中提交以下内容:
<script>location.href('http://www.hacked.com')</script>
- 代码不会执行,因为会被保存为转义代码,就像这样:
<script>location.href('http://www.hacked.com')</script>
现在这条代码显示在页面上或 e-mail 中是安全的。
在用户提交该表单时,我们还要做两件事:
(通过 PHP trim() 函数)去除用户输入数据中不必要的字符(多余的空格、制表符、换行)
(通过 PHP stripslashes() 函数)删除用户输入数据中的反斜杠(\)
接下来我们创建一个检查函数(相比一遍遍地写代码,这样效率更好)。
我们把函数命名为 test_input()。
现在,我们能够通过 test_input() 函数检查每个 $_POST 变量,脚本是这样的:
实例
<?php
// 定义变量并设置为空值
$name = $email = $gender = $comment = $website = "";
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$name = test_input($_POST["name"]);
$email = test_input($_POST["email"]);
$website = test_input($_POST["website"]);
$comment = test_input($_POST["comment"]);
$gender = test_input($_POST["gender"]);
}
function test_input($data) {
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return $data;
}
?>
分享到:
发表评论
-
yii2 引进css
2015-12-09 16:22 0$this->registerCssFile(STATI ... -
GridView
2015-10-29 10:18 0<?= GridView::widget ... -
使用pack 填充空白符 unpack解
2015-08-10 15:43 574<?php $book = array(array ... -
php lookandsay
2015-08-07 18:01 487<?php function lookands ... -
php strpos 为什么没找到要用 ===false 做判断
2015-08-07 14:36 770如果这个字符串中没有找到相应的子字符串 就返回false ... -
php 获取当前浏览器信息
2015-08-07 11:05 04.10 以前 是$HTTP_SERVER_VARS ... -
php 遍历一个文件夹下面的子文件
2015-08-05 15:57 565function my_scandir($dir) ... -
什么是HMVC
2015-07-31 11:01 456HMVC模式即Hierarchical-Model-V ... -
PHP 通过代理发送电子邮件 mail()
2015-06-15 16:19 0/** * 邮件发送类 * 支持发送纯文本 ... -
unsoap
2015-06-03 16:30 01. 首先,去 http://sourceforge.net/ ... -
file_get_contents 和 curl 性能比较
2015-06-03 11:57 0$timeStart = microtime_float(); ... -
PHP获取 当前页面名称、主机名、URL完整地址、URL参数、获取IP
2015-05-29 14:07 0PHP获取 当前页面名称、 ... -
php MySQL Create Database 创建数据库
2014-10-15 16:04 837MySQL Create Database 创 ... -
php 连接数据库
2014-10-15 16:05 372MySQL 连接与管理 让 PHP 支持 MySQL ... -
PHP 对象的存储与传输(序列化 serialize 对象)
2014-10-15 16:06 2351PHP 对象的存储与传输(序列化 serialize ... -
PHP 对象克隆 clone 关键字与 __clone() 方法
2014-10-15 16:07 1191PHP 对象克隆 clone 关键字与 __clone ... -
PHP 抽象方法与抽象类 abstract 关键字
2014-10-15 16:07 537PHP 抽象方法与抽象类 abstract 关键字 ... -
PHP 重载方法 __call()
2014-10-21 16:20 393PHP 重载方法 __call() __call() ... -
PHP 重载
2014-10-23 11:07 345PHP 重载 一个类中的方法与另一个方法同名,但 ... -
PHP 特殊方法 __set()、__get()、__isset() 与 __unset()
2014-10-13 15:37 0PHP 特殊方法 __set() ...
相关推荐
StripSlashes 函数去掉反斜线字符,以便于字符串处理操作。 36. strlen: 取得字符串长度 strlen 函数取得字符串的长度,以便于字符串处理操作。 37. strrpos: 寻找字符串中某字符最后出现处 strrpos 函数寻找...
htmlspecialchars函数转换字符串中的特殊字符为HTML实体,防止跨站脚本攻击。 10. 字符大小写转换函数 大小写转换函数包括strtolower、strtoupper、ucfirst和ucwords。strtolower将字符串转换为小写;strtoupper...
4. **chop()** 和 **trim()**: 这两个函数都用于去除字符串两端的空格。chop()仅移除右侧的空格,而trim()会移除两侧的空格。对于确保字符串干净,尤其是在比较或分析时,这两个函数非常有用。 5. **ltrim()**: ...
- `ltrim()`, `chop()`, `trim()`:去除字符串两侧的空白或其他指定字符。 - `chr()`和`ord()`:互为逆操作,`chr()`将ASCII值转换为字符,`ord()`将字符转换为ASCII值。 - `chunk_split()`:将字符串分割成指定...
14. **stripslashes($string)**: 去掉字符串中的反斜杠。 15. **strtolower($string)**: 将字符串中的所有字符转换为小写。 16. **strtoupper($string)**: 将字符串中的所有字符转换为大写。 17. **trim($string,...
33. **StripSlashes()**: 移除由AddSlashes()添加的反斜线。 34. **strlen()**: 返回字符串的长度。 35. **strrpos()** 和 **strpos()**: 分别查找字符串中最后一次和第一次出现特定字符的位置。 36. **strrchr()...
文件中的许多函数涉及数据的处理和转换,如`htmlspecialchars`, `trim`, `stripslashes`等,它们在防止XSS攻击和数据清理方面扮演重要角色。例如,`htmlspecialchars`用于转义HTML特殊字符,防止用户注入恶意代码;...
ltrim()、rtrim()和trim()函数分别用于去除字符串开头和结尾的特定字符,默认情况下会去除空格。str_pad()函数用于在字符串的特定位置填充字符,从而达到预期的长度。 大小写转换是处理字符串时常见的需求,PHP提供...
- `trim($str)`:去除字符串两侧的空白字符。 8. **插入空格**: - `chunk_split($str, 2)`:每两个字符之间插入一个空格。 9. **ASCII与字符转换**: - `chr($ascii)`:返回ASCII码对应的字符。 - `ord($char...
因此,PHP提供了stripslashes函数来去除这些特殊字符的转义序列,而htmlspecialchars函数则可以将特殊字符转换为HTML实体,防止脚本执行。 例如,在显示数据时,可以使用htmlspecialchars函数,并且如果数据中包含...
- **`trim()`**: 去除字符串两侧的空白字符或其他字符。 - **`ucfirst()`**: 将字符串首字母转换为大写。 - **`ucwords()`**: 将字符串中的每个单词首字母转换为大写。 - **`wordwrap()`**: 将字符串包装到指定的...
* stripslashes(): 去除字符串中的反斜线。 十二、连接函数 * implode(str, $arr): 将字符串数组按指定字符连接成一个字符串。 * join(): 函数有个别名函数。 * addcslashes(): 为字符串里面的部分字符添加反斜线...
这通常是通过使用PHP内置的`htmlspecialchars()`、`trim()`、`stripslashes()`等函数实现的。 3. **转义特殊字符**:类库可能会提供一个`escape_string()`方法,使用PHP的`mysql_real_escape_string()`(对于旧版...
在处理用户输入或动态内容输出到HTML页面时,使用htmlspecialchars函数可以避免XSS攻击。htmlspecialchars函数可以将特殊字符转换为HTML实体,例如将"转换为"。ENT_QUOTES选项意味着同时转义双引号和单引号: ```...
#### 二、常用函数详解 ##### 1. **AddCslashes** - **功能**:向字符串中的特殊字符添加反斜杠。 - **用法**:`addcslashes($str, $mask);` 其中`$str`是要处理的字符串,`$mask`是需要被转义的字符集合。 ####...
它通过`trim()`去除首尾空白,`stripslashes()`移除反斜杠,`htmlspecialchars()`将特殊字符转义,提高安全性。 在`confirm.php`中,使用`mysqli_query()`执行SQL查询,从`admin`表中找出与用户名匹配的记录。`...