我在 PHP 表单处理程序中有以下代码块:
function filter($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc()) {
$data = stripslashes($data);
}
$data = mysql_real_escape_string($data);
return $data;
}
foreach($_POST as $key => $value) {
$data[$key] = filter($value);
}
我正在修改我的表单,现在包括复选框组:
例如:
<input type="checkbox" name="phone_prefs[]" value="prefer_home">
<input type="checkbox" name="phone_prefs[]" value="prefer_cell">
<input type="checkbox" name="phone_prefs[]" value="prefer_work">
etc.
由于这段代码,我现在的 _POST 变量中有数组,而不仅仅是字符串。
我认为我的
filter()
函数实际上不会正确清理数组,这是正确的吗?我需要对我的 filter()
函数进行哪些更改,以确保复选框的数组得到彻底清理,而不是成为 SQL 注入攻击的简单目标?
对于sql注入,我会使用prepared语句切换到PDO。
您可以在值上使用简单的
is_array()
来检查数组,然后循环遍历它。你是对的,事实上,你的 filter
函数将无法正确处理数组。
编辑:如果您使用 PDO 和准备好的语句,则不再需要
mysql_real_escape_string
。 strip_tags
、htmlentities
和trim
也不需要将信息安全地存储在数据库中,当您将信息输出到浏览器时需要它们(trim
当然不是......),尽管htmlspecialchars
就足够了。为当时要输出到的媒体正确准备信息/输出总是更好。
你的函数非常好,但是如果你让它递归,它会为你抓取嵌套数组
function filter(&$array) {
$clean = array();
foreach($array as $key => &$value ) {
if( is_array($value) ) {
filter($value);
} else {
$value = trim(strip_tags($value));
if (get_magic_quotes_gpc()) {
$data = stripslashes($value);
}
$data = mysql_real_escape_string($value);
}
}
}
filter($_POST); # filters $_POST and any nested arrays by reference
编辑:省略
htmlentities()
。如果您需要它,请在输出值时使用它,而不是在将它们作为输入时使用。
array_walk_recursive($array,function(&$item){
$item=mysql_real_escape_string($item);
});
您在 $_POST 上使用了 foreach,它只循环一次,使用数组并将其像字符串一样处理。
尝试使用:
foreach($_POST['phone_prefs'] as $key => $value)
编辑:
我相信我误解了你的问题:
foreach($_POST as $key => $value)
if (is_array($value))
foreach($_POST[$key] as $key2 => $value2)
/* Setting stuff */
else /* Setting same stuff */
不要手动清理输入,而是使用 always prepared statements 和 placeholders。这将以不需要转义的方式透明地将输入传递到数据库,因此不易受到 SQL 注入的攻击。这是目前最好的做法。
有关更多信息,请参阅以下内容:http://php.net/manual/en/pdo.prepared-statements.php
我在我创建的各种网站上使用它:
public function clean($dirty) {
if (!is_array($dirty)) {
$dirty = ereg_replace("[\'\")(;|`,<>]", "", $dirty);
$dirty = mysql_real_escape_string(trim($dirty));
$clean = stripslashes($dirty);
return $clean;
}
$clean = array();
foreach ($dirty as $p => $data) {
$data = ereg_replace("[\'\")(;|`,<>]", "", $data);
$data = mysql_real_escape_string(trim($data));
$data = stripslashes($data);
$clean[$p] = $data;
}
return $clean;
}
使用mysql_real_escape_string意味着在使用该函数之前需要连接MySQL,这不是很方便。我曾经在这种情况下使用过解决方法:
function real_escape_string($aQuery) {
if (!is_string($aQuery)) {
return FALSE;
} else {
return strtr($aQuery, array( "\x00" => '\x00', "\n" => '\n', "\r" => '\r', '\\' => '\\\\', "'" => "\'", '"' => '\"', "\x1a" => '\x1a' ));
}
}
但毫无疑问,最好是使用 PDO 准备好的语句而不是 mysql。你会喜欢它的。