`
阅读更多

在现代互联网中,我们经常要 从世界各地的用户中获得输入数据。但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。在PHP中,有些非常有用并且方便的函数,它们可以帮助你的网站防止出现像SQL注入攻击,XSS攻击等问题。当然在PHP代码编写中IDE(如:PhpStorm 、Zend Studio )会有函数的高亮显示,来确保开发人员的使用,也有人使用代码混淆工具来保护这些函数或代码(如:Zend Guard),这些手段都是用来确保PHP函数的使用和安全的。今天我们主要是来看看这些函数到底是怎么定义与工作的。

 

1. mysql_real_escape_string()
这个函数对于在PHP中防止SQL注入攻击很有帮助,它对特殊的字符,像单引号和双引号,加上了“反斜杠”,确保用户的输入在用它去查询以前已经是安全的了。但你要注意你是在连接着数据库的情况下使用这个函数。
但现在mysql_real_escape_string()这个函数基本不用了,所有新的应用开发都应该使用像PDO这样的库对数据库进行操作,也就是说,我们可以使用现成的语句防止SQL注入攻击。

 

2. addslashes()
这个函数和上面的mysql_real_escape_string()很相似。但要注意当设置文件php.ini中的Magic_quotes_gpc 的值为“on”时,不要使用这个函数。默认情况下, magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据 自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致 双层转义。你可以通过PHP中get_magic_quotes_gpc()函数检查这个变量的值。

 

3. htmlentities()
这个函数对过滤用户输入数据非常有用,它可以把字符转换为 HTML 实体。比如,当用户输入字符“<”时,就会被该函数转化为HTML实体<,因此防止了XSS和SQL注入攻击。

 

4. htmlspecialchars()
HTML中的一些字符有着特殊的含义,如果要体现这样的含义,就要被转换为HTML实体,这个函数会返回转换后的字符串,比如,‘&’amp会转为‘&’。

 

5. strip_tags()
这个函数可以去除字符串中所有的HTML,JavaScript和PHP标签,当然你也可以通过设置该函数的第二个参数,让一些特定的标签出现。

 

6. md5()
一些开发者存储的密码非常简单,这从安全的角度上看是不好的,md5()函数可以产生给定字符串的32个字符的md5散列,而且这个过程不可逆,即你不能从md5()的结果得到原始字符串。

 

7. sha1()
这个函数和上面的md5()相似,但是它使用了不同的算法,产生的是40个字符的SHA-1散列(md5产生的是32个字符的散列)。

 

8. intval()
不要笑,我知道这不是一个和安全相关的函数,它是在将变量转成整数类型。但是,你可以用这个函数让你的PHP代码更安全,特别是当你在解析id,年龄这样的数据时。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

分享到:
评论

相关推荐

    收集的javascript 和php 有用的小函数库

    值得注意的是,自定义函数库的一个重要优点是它们可以根据个人或团队的编码风格和需求进行定制,使得代码更加符合项目的实际需求。然而,使用这些非官方库时,也需要考虑兼容性、性能和安全问题。确保对引入的每个...

    信息安全_PHP代码审计.PHP基础.pptx

    在代码审计中,数据库操作函数如`mysql_connect()`、`mysql_select_db()`和`mysql_query()`等常常成为关注点,因为不正确的SQL操作可能导致SQL注入漏洞。例如,应避免使用不安全的字符串拼接构建SQL查询,而应采用...

    php-5.6.34.zip

    本次我们关注的是PHP的一个特定版本——PHP 5.6.34。这个版本是PHP 5.x系列中的一个重要里程碑,它在稳定性和性能上都做了很多优化,同时也包含了丰富的功能特性,为开发者提供了强大的工具箱。 首先,PHP 5.6.34在...

    基于PHP的值得买淘宝客源码界面美观源码.zip

    【标题】"基于PHP的值得买淘宝客源...综上所述,"基于PHP的值得买淘宝客源码界面美观源码.zip"涵盖了从后端开发到前端设计,再到API交互和用户体验优化等多个方面的技术知识,是学习和实践PHP Web开发的一个宝贵资源。

    PHP.ini研究 php.ini中文版

    接着,我们关注一些重要的配置段落。"PHP核心"部分包含了PHP运行时的基础设定,如`extension_dir`指定了扩展库的位置,`date.timezone`用于设定默认的时区。"PHP安全"相关的配置,如`register_globals`已经默认被...

    PHP在线加密系统网站源码.zip

    【PHP在线加密系统网站源码】是一个基于PHP技术构建的用于加密处理的Web应用程序。它提供了在线加密服务,用户可以通过该平台对代码或数据进行安全...同时,开发者应始终关注安全更新和最佳实践,以保持系统的安全性。

    十大PHP最佳安全实践

    ### 十大PHP最佳安全实践 在Web开发领域,PHP是一种广泛使用...值得注意的是,网络安全是一个持续的过程,开发者需要保持警惕并不断学习新的安全技术和方法。希望这些建议能够帮助您构建更加健壮和安全的Web应用程序。

    win2003 PHP服务器的突破新思路

    在信息技术的发展历程中,服务器的安全性一直是备受关注的问题。随着操作系统的升级,尤其是从Windows 2000到Windows XP,再到Windows 2003的演进,微软的IIS服务器在安全性上有了显著的提升。这些系统的升级意味着...

    php天气预报超漂亮.rar

    【PHP天气预报查询系统】 ...对于想要提升PHP技能或了解Web开发流程的初学者来说,这是一个值得深入研究的项目。通过分析和模仿这样的项目,可以增强自己的编程能力和理解力,为将来开发更复杂的应用奠定基础。

    基于PHP的网上办公系统实现与安全设计.pdf

    最后,基于PHP的网上办公系统的优点和不足之处也值得我们关注。该系统提高了工作效率,节约了办公成本,并实现了随时随地办公的可能,极大地方便了企业员工的工作。然而,它也存在一些问题,例如对PHP环境依赖较强,...

    php_4.3.1.rar_php 4.3

    在PHP 4.3.1中,安全是重点关注的方面。源代码中包含对SQL注入、跨站脚本攻击(XSS)等常见威胁的防护措施。理解这些安全机制,有助于我们在编写PHP代码时避免潜在的安全风险。 五、性能优化 PHP 4.3.1在性能优化...

    php实现window平台的checkdnsrr函数

    在PHP编程中,还有许多其他值得关注的函数,例如防止DDoS、DNS攻击的策略,`strlen` 函数用于计算字符串长度,`strtotime` 函数处理时间转换,以及处理函数超时的方法。此外,PHP的加密函数如 `hash`, `openssl_...

    最新版Ucenter,修正不兼容php7.7,mysql_connect()不可用等问题

    Ucenter是一款由Comsenz公司开发的用户中心系统,它为多应用系统提供...对于使用Ucenter的开发者和网站管理员来说,这是一个值得欢迎的改进,同时也提醒他们在技术日新月异的今天,持续关注和更新软件以保持最佳性能。

    php漏洞探测思路

    作为广泛使用的Web开发语言之一,PHP的安全问题备受关注。在实际的应用场景中,很多情况下我们无法获得PHP源码,这给安全检测带来了挑战。本文将探讨在无法获取PHP源码的情况下进行漏洞探测的新思路,该方法无需直接...

    blogid45170255提到的php加密文件

    本文将深入探讨标题“blogid45170255提到的php加密文件”以及描述中提及的“利用正则全自动解密”的概念,同时关注两个关键文件:origin.php和DeCode.php。 首先,PHP加密通常涉及到几种方法,包括但不限于混淆、...

    PHP程序设计

    最后,性能优化和安全实践是每个PHP开发者都应关注的话题。学习如何使用缓存技术(如Memcached、Redis),进行代码审查,以及遵循最佳实践来避免常见的安全漏洞(如XSS、CSRF等),将有助于构建高效且安全的应用。 ...

    PHP单文件加密单页源码

    在IT行业中,尤其是在Web开发领域,PHP是一种广泛使用的服务器端脚本语言,它以其灵活...然而,全面的数据安全策略需要综合考虑多种因素,包括但不限于代码加密,同时也需关注服务器配置、输入验证和其他安全最佳实践。

    PHP入门中文手册chm(5.6.x)

    在PHP 5.6版本中,有几个关键的更新和改进值得我们关注: 1. **新特性**:引入了`finally`关键字,使得异常处理更加完善。在`try-catch`块中,无论是否发生异常,`finally`代码块都将被执行,确保了资源的释放和...

    高级PHP应用程序漏洞审核技术

    - **5.5.2 PHP函数的其他漏洞**:除了溢出外,还有哪些类型的漏洞值得关注。 - **5.5.3 session_destroy()删除文件漏洞**:解释如何利用session_destroy()函数删除任意文件。 - **5.5.4 随机函数**:随机数生成器的...

    注意:php5.4删除了session_unregister函数

    此外,值得一提的是,随着PHP版本的更新,一些函数和特性会被弃用或删除,开发者应该密切关注官方的发布说明和变更日志。如在本案例中,***网站或其官方文档会明确指出session_unregister函数从PHP 5.4版本起被删除...

Global site tag (gtag.js) - Google Analytics