不要相信外部源

  • $_GET
  • $_POST
  • $_REQUEST
  • $_COOKIE
  • $argv
  • php://stdin
  • php://input
  • file_get_contents()
  • 远程数据库
  • 远程api
  • 来自客户端的数据

htmlentities

  

 1 <?php

 2 $input = '<p><script>alert("You won the Nigerian lottery!");</script></p>';

 3 echo htmlentities($input, ENT_QUOTES, 'UTF-8').PHP_EOL;

 4 // &lt;p&gt;&lt;script&gt;alert(&quot;You won the Nigerian lottery!&quot;);&lt;/script&gt;&lt;/p&gt;

 5

 6 $email = 'john介样子@example.com';

 7 $emailSafe = filter_var($email, FILTER_SANITIZE_EMAIL);

 8 echo $emailSafe.PHP_EOL;

 9 // john@example.com

10

11 $string = "\ni18n说的话\t";

12 $safeString = filter_var(

13     $string,

14     FILTER_SANITIZE_STRING,

15     FILTER_FLAG_STRIP_LOW | FILTER_FLAG_ENCODE_HIGH

16 );

17 echo $safeString.PHP_EOL;

18 // i18n说的话

19

20 // 转义输出

21 $output = '<p><script>alert("NSA backdoor installed")</script></p>';

22 echo htmlentities($output, ENT_QUOTES, 'UTF-8').PHP_EOL;

23 // &lt;p&gt;&lt;script&gt;alert(&quot;NSA backdoor installed&quot;)&lt;/script&gt;&lt;/p&gt;

  

htmlpurifier

模板引擎
  

一些加密函数

md5, sha1, bcrypt, scrypt

* 注册用户

POST /register.php HTTP/1.1

Content-Length: 43

Content-Type: application/x-www-form-urlencoded

email=john@example.com&password=sekritshhh!

<?php

/**

 * Created by PhpStorm.

 * User: Mch

 * Date: 7/17/18

 * Time: 22:47

 */

try {

    // 验证电子邮箱地址

    $email = filter_input(INPUT_POST, 'email', FILTER_VALIDATE_EMAIL);

    if (!$email) {

        throw new Exception('Invalid email');

    }

    // 验证密码

    $password = filter_input(INPUT_POST, 'password');

    if (!$password || mb_strlen($password) < 8) {

        throw new Exception('Password must contain 8+ characters');

    }

    // 创建密码的hash

    $passwordHash = password_hash($password, PASSWORD_DEFAULT, ['cost'=>12]);

    if ($passwordHash === false) {

        throw new Exception('Password hash failed');

    }

    // 创建用户账户(pseudo code)

    $user = new User();

    $user->email = $email;

    $user->pasword_hash = $passwordHash;

    $user->save();

    // 重定向到登录页面

    header('HTTP/1.1 302 Redirect');

    header('Location: /login.php');

} catch (Exception $e) {

    // 报告错误

    header('HTTP/1.1 400 Bad request');

    echo $e->getMessage();

}

register.php

 1 <?php

 2 /**

 3  * POST /login.php HTTP/1.1

 4  * Content-Length: 43

 5  * Content-Type: application/x-www-form-urlencoded

 6  *

 7  * email=john@example.com&password=sekritshhh!

 8  */

 9 session_start();

10

11 try {

12     $email = filter_input(INPUT_POST, 'email');

13     $password = filter_input(INPUT_POST, 'password');

14

15     // (pseudo code)

16     $user = User::findByEmail($email);

17     // 如果需要, 重新计算密码的hash值

18     if (password_verify($password, $user->password_hash)===false) {

19         throw new Exception('Invalid password');

20     }

21

22     // 如果需要, 重新计算密码的hash值

23     $currentHashAlgorithm = PASSWORD_DEFAULT;

24     $currentHashOptions = ['cost' => 15];

25     $passwordNeedsRehash = password_needs_rehash(

26         $user->password_hash,

27         $currentHashAlgorithm,

28         $currentHashOptions

29     );

30     if ($passwordNeedsRehash === true) {

31         // 保存新计算得到的密码hash值 (pseudo code)

32         $user->password_hash = password_hash(

33             $password,

34             $currentHashAlgorithm,

35             $currentHashOptions

36         );

37         $user->save();

38     }

39     $_SESSION['user_logged_in'] = 'yes';

40     $_SESSION['user_email'] = $email;

41

42     // redirect

43     header('HTTP/1.1 302 Redirect');

44     header('Location: /user-profile.php');

45

46 } catch (Exception $e) {

47     header('HTTP/1.1 401 Unauthorized');

48     echo $e->getMessage();

49 }

login.php

emoji

php安全 过滤、验证、转义的更多相关文章

  1. ueditor的过滤、转义、格式丢失问题

    1. 过滤 http://www.cnblogs.com/Olive116/p/3464495.html 2. 转义 http://segmentfault.com/q/101000000048928 ...

  2. php 自带过滤和转义函数

    函数名 释义 介绍 htmlspecialchars 将与.单双引号.大于和小于号化成HTML格式 &转成&"转成"' 转成'<转成<>转成> ...

  3. 过滤器(Filter)对登陆页面进行过滤验证

    import javax.servlet.*;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServl ...

  4. mysql in 过滤 解决转义问题

    IF(headUser!='',instr(concat(',',headUser,','),concat(',',cr.headUser,',')),TRUE);

  5. 【快学SpringBoot】过滤XSS脚本攻击(包括json格式)

    若图片查看异常,请前往掘金查看:https://juejin.im/post/5d079e555188251ad81a28d9 XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cas ...

  6. Yii CModel中rules验证规则[转]

    array( array(‘username’, ‘required’), array(‘username’, ‘length’, ‘min’=>3, ‘max’=>12), array( ...

  7. Yii CModel中rules验证规则

    array( array(‘username’, ‘required’), array(‘username’, ‘length’, ‘min’=>3, ‘max’=>12), array( ...

  8. YII中表单验证

    关于表单的验证有三种: 1.yii的客户端验证 2.yii的服务器端验证 3.yii的ajax验证 例如: 1.在表单对应的模型中定义一个rules方法(该方添加后,在表单提交时,将自动被调用) pu ...

  9. ASP.NET Web API编程——模型验证与绑定

    1.模型验证 使用特性约束模型属性 可以使用System.ComponentModel.DataAnnotations提供的特性来限制模型. 例如,Required特性表示字段值不能为空,Range特 ...

  10. Yii正则验证

    required : 必须值验证属性 [['字段名'],required,'requiredValue'=>'必填值','message'=>'提示信息']; #说明:CRequiredV ...

随机推荐

  1. noip32

    T1 暴力很好打,然而我是最后打的,所以只有40pts,其他人都有80pts的说 其实也应该想到的吧 80pts用的 \(set\) ,有个log,所以A不了. 正解: 把 \(set\) 换成 \( ...

  2. Synchronized和ReentranLock的区别

    1.底层实现上来说? Synchronized是JVM层面的锁,是Java关键字,通过monitor对象来完成. ReentranLock是API层面的锁底层使用AQS. 2.是否可手动释放锁? sy ...

  3. SpringCloud升级之路2020.0.x版-23.订制Spring Cloud LoadBalancer

    本系列代码地址:https://github.com/HashZhang/spring-cloud-scaffold/tree/master/spring-cloud-iiford 我们使用 Spri ...

  4. com 组件的本知识

    (今日看到网络上关于"COM中GUID......"文章,写的好,故记录之.)当初微软设计com规范的时候,有两种选择来保证用户的设计的com组件可以全球唯一:第一种是采用和Int ...

  5. 获取sim 卡的IMEI 和 IMSI

    IReadOnlyList<string> networkAccIds = Windows.Networking.NetworkOperators.MobileBroadbandAccou ...

  6. struts2思想学习(一)

    OOP 面向对象编程 AOP 面向切面编程 而在struts2 处处体现了面向切面编程的思想(动态代理最典型)! 拦截器其实也是面向切面编程!拦截器切断了所有请求到action的操作 并做了很多的前提 ...

  7. opencv入门系列教学(六)图像上的算术运算(加法、融合、按位运算)

    0.序言 这一篇博客我们将学习图像的几种算术运算,例如加法,减法,按位运算等. 1.图像加法 我们可以通过OpenCV函数 cv.add() 或仅通过numpy操作 res=img1+img2 res ...

  8. jdbc操作mysql(四):利用反射封装

    前言 有了前面利用注解拼接sql语句,下面来看一下利用反射获取类的属性和方法 不过好像有一个问题,数据库中的表名和字段中带有下划线该如何解决呢 实践操作 工具类:获取connection对象 publ ...

  9. ES6扩展——数组的新方法(Array.from、Array.of、Array.fill、Array.includes、keys values entries 、find)

    1.Array.from(objec,回调函数)将一个ArrayLike对象或者Iterable对象(类数组对象)转换成一个数组 1)该类数组对象必须具有length属性,用于指定数组的长度.如果没有 ...

  10. 文件权限的管理以及acl权限列表

    ls -l? 文件名称 上面的命令以长格式显示文件与目录,每一行都是一个文件或目录的属性数据,每个文件或子目录的属性数据又以7个字段显示,各个字段的说明如下: (1)文件类型与权限:该字段共有10个字 ...