程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> 如何實現一個php框架系列文章【5】安全處理輸入,

如何實現一個php框架系列文章【5】安全處理輸入,

編輯:關於PHP編程

如何實現一個php框架系列文章【5】安全處理輸入,


所有的外部輸入參數都應該檢查合法性。

未正確處理輸入數據將可能導致sql注入等漏洞。

 

框架提供系列函數來取$_REQUEST中的值

requestInt

requestString

requestFloat

requestBool

 

ps:注意$_REQUEST中變量類型可能會是數組

如請求為 ?i[]=1,那麼$_REQUEST['i'] 的值為array(1)

做校驗的時候要考慮全面以防止php warning信息洩露

 

 

另外再介紹一下kv json格式的數據校驗。

有時為了在項目中保留一定擴展性,會使用json格式的數據,這種數據又該如何校驗呢。

 

//校驗鍵值形式{k1:v1, k2:v2, k3:v3 ...}的json數據,可以對每一對kv進行校驗

requestKvJson

 

 

 

 

部分實現代碼

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 //校驗整數,失敗返回$default function checkInt($var$default = 0) {     return  is_numeric($var) ? intval($var, (strncasecmp($var'0x', 2) == 0 || strncasecmp($var'-0x', 3) == 0) ? 16 : 10) : $default; }   //校驗字符串 $check為正則表達式 function checkString($var$check ''$default '') {     if (!is_string($var)) {         if(is_numeric($var)) {             $var = (string)$var;         }         else {             return $default;         }     }     if ($check) {          return (preg_match($check$var$ret) ? $ret[1] : $default);     }       return $var; }   /*     校驗kv json,     如果想要一個這樣的數據{id:1, 'type':'single_text', 'required': true, 'desc':'this is a text'}     那麼$desc可以這樣寫     array(    array('id', 'Int'),    array('type', 'string', PATTERN_NORMAL_STRING),    array('required', 'Bool', false),    array('desc', 'string', PATTERN_NORMAL_STRING), )) */ function checkKvJson($var$desc array()) {     if(is_string($var)) {         $var = json_decode($var, true);     }     if(!$var || !is_array($var)) {         return array();     }       if($desc)     foreach($desc as $d) {           if(!isset($var[$d[0]])) {             return array();         }           $ps array_slice($d, 2);         array_unshift($ps$var[$d[0]]);         $var[$d[0]] = call_user_func_array('check'.$d[1], $ps);         if($var[$d[0]] === false && strcasecmp($d[1], 'Bool')) {             return array();         }     }       return $var; }

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved