如何对所有POST数据运行PHP Preg_match？

对所有POST数据运行PHP preg_match，可以使用以下步骤：

获取POST数据：使用$_POST超全局变量来获取所有的POST数据。例如，可以使用以下代码获取名为"username"的POST数据：

$username = $_POST['username'];

验证POST数据：使用preg_match函数对获取到的POST数据进行验证。preg_match函数用于执行正则表达式匹配。它接受三个参数：正则表达式模式、要匹配的字符串和一个可选的数组用于存储匹配结果。例如，以下代码使用preg_match验证用户名是否只包含字母和数字：

if (preg_match('/^[a-zA-Z0-9]+$/', $username)) {
    // 验证通过
} else {
    // 验证失败
}

处理匹配结果：根据需要，可以根据preg_match的返回值来处理匹配结果。如果匹配成功，preg_match返回1，否则返回0。可以使用条件语句来根据返回值执行相应的操作。

总结：对所有POST数据运行PHP preg_match的步骤包括获取POST数据、使用preg_match函数进行验证，并根据返回值处理匹配结果。

推荐的腾讯云相关产品：腾讯云云服务器（CVM）和腾讯云云函数（SCF）。

腾讯云云服务器（CVM）：提供可扩展的云服务器实例，适用于各种应用场景。详情请参考：腾讯云云服务器
腾讯云云函数（SCF）：无服务器计算服务，可按需运行代码，无需管理服务器。详情请参考：腾讯云云函数

相关·内容

实例讲解PHP表单

此数组包含键/值对，其中的键是表单控件的名称，而值是来自用户的输入数据。 2 GET 和 POST 被视作 _GET 和 _POST。..._POST 是通过 HTTP POST 传递到当前脚本的变量数组。（1）何时使用 GET？通过 GET 方法从表单发送的信息对任何人都是可见的（所有变量名和值都显示在 URL 中）。...GET 对所发送信息的数量也有限制。限制在大约 2000 个字符。 GET 可用于发送非敏感的数据。注释：绝不能使用 GET 来发送密码或其他敏感信息！（2）何时使用 POST？...通过 POST 方法从表单发送的信息对其他人是不可见的（所有名称/值会被嵌入 HTTP 请求的主体中），并且对所发送信息的数量无限制。...因此，$_SERVER[“PHP_SELF”] 将表单数据发送到页面本身，而不是跳转到另一张页面。这样，用户就能够在表单页面获得错误提示信息。

7.2K2 0

文件包含漏洞

，找不到文件只会产生警告，还会接着运行后面的脚本 require():只要程序一直运行就会包含文件，如果找不到包含文件则会产生致命错误，并且脚本运行终止 include_once()和require_once...（但是如果可以以base64加密，则可以不去读取php的源码）如果你能读取到config.php之类的文件，或许可以拿到数据库账号远程登录数据库入侵进去现在的问题是：LFI如何读取到php文件的源码.../sqli/db.php web78 没有任何过滤，可以直接使用伪代码去看看flag.php 使用php://filter伪代码 web79 发现对php有过滤，使用str_replace进行替换使用...php eval($_POST[1]);?...preg_match("/base|\.\.

1121 0

CTFshow之web入门---PHP特性上

'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ if(preg_match('/^php$/i', $a)){ echo...file=php://filter/convert.base64-encode/resource=flag.php对得到的内容进行PHP解码就行 Web97 include("flag.php"); highlight_file...; foreach($_GET as $key => $value){ #get是一个预定义的数组，此处将get中的数据按照键值对取出 if($key==='error'){ #key...as $key => $value){ #post同样是一个预定义的数组，同样按照键值对取出 if($value==='flag'){ #如果传入的值为flag，if判定成立...; } 过滤了data和base64，但是怎么说呢，过滤了这个偏偏可以想着如何绕过这个过滤……..这种情况大概是非预期解 /?

2431 0

php代码审计-sql注入进阶篇

php require 'db.php'; header('Content-type:text/html;charset=utf8'); $username=dl($_POST['username'])...php require 'db.php'; header('Content-type:text/html;charset=utf8'); $username=dl($_POST['username'])...注入成功 url编码绕过在平常使用url提交数据时，web容器在接到url后会自动进行一次url编码解析，但是由于业务问题有些网站在web容器自动解析之后，通过编写程序对解析的参数进行再次url编码解析...> 上来还是先看看代码，把客户端传入的get参数赋值进了id1,用if加preg_match对变量id1的值进行检索。如果客户端传入的参数有gl里的值，那么就会返回前端代码进行警告。...把经过两次编码后的and提交数据会经过web容器解码后变为%61%6e%64，preg_match判定就不会触发。

2.3K1 0

CTFshow元旦水友赛WP

在他们的恋爱过程中，月月和小雨也学会了如何相处和包容对方！他们互相理解互相支持。一起面对生活中的挑战和困难！他们的爱情让他们变得更加坚强和勇敢，也让他们感受到了生命中最美好的东西。...所有的嘉宾都为他们鼓掌和欢呼并祝福他们的爱情能够永恒长存。...php eval($_POST[2]);?...php eval($_POST[3]);?...总之现在目的就是想办法去除ctfshowshowshowwww这串子数据，base64既然说了可以用一次，那就试试一次解码之后这些脏数据还剩多少，发现还剩r和0是还在码表里面的，也就是还能识别到的脏数据

1K2 0

CTFSHOW刷题之旅--PHP特性（未完）

php show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){...; } if(intval($num,0)===4476){ echo $flag; } } 这题只是在第一个if处变成弱比较，第二个处多了个对 . 的过滤。...php include("flag.php"); highlight_file(__FILE__); if (isset($_POST['a']) and isset($_POST['b'])) { if...php include("flag.php"); $_GET?$_GET=&$_POST:'flag'; $_GET['flag']=='flag'?...php+eval($_POST[cmd]);?> } ?> web100 <?

1.2K2 1

SUCTF web 赛后复现总结

; 长度且不谈，先看看如何去绕过正则，可以写一个 Php 脚本自动去复制fuzzing，看看有哪些字符可用：运行结果：可用字符如下： ! # $ % ( ) * + - / : ; ?...php session_start(); include_once "config.php"; $post = array(); $get = array();...("/{$BlackList}/is",$post['query'])); if(preg_match("/{$BlackList}/is",$post['query'])){...||flag from Flag"; 因此可以构造以下语句： Select *,1 || flag from Flag 相当于是从 flag 表中查询所有字段了，因此直接爆出 flag 后来看了官方

6342 0

PHP利用PCRE回溯次数限制绕过某些安全限制

这种时候，如何绕过 is_php() 函数来写入 webshell 呢？这道题看似简单，深究其原理，还是值得写一篇文章的。...我们通过发送超长字符串的方式，使正则执行失败，最后绕过目标对 PHP 语言的限制。...php eval($_POST[txt]);//' + b'a' * 1000000) } res = requests.post('http://51.158.75.42:8088/index.php...0x05 修复方法那么，如何修复这个问题呢？其实如果我们仔细观察 PHP 文档，是可以看到 preg_match 函数下面的警告的： ?...如果用 preg_match 对字符串进行匹配，一定要使用===全等号来判断返回值，如： <?

1.7K1 0

三十六.津门杯CTF Web Write-Up万字详解（SSRF、文件上传、SQL注入、代码审计、中国蚁剑）

> 知识总结 preg_match("/[A-Za-z0-9]+/",$code) + 长度限制数字+字母：通过异或构造GET或POST请求实现绕过 preg_match("/[A-Za-z0-9..._@]+/", preg_match("/[A-Za-z0-9_ 该部分参考资料：如何用PHP编写一个不包含数字和字母的后门绕过preg_match("/[A-Za-z0-9]+/",$code)...我们的想法是获取根目录或var目录下，查看是否存在flag.php或flag.txt相关的文件，但并未找到（不知道蚁剑如何搜索）。第三步，调用相关插件进行深入渗透测试。...可以看到PHP版本是5.5，操作系统是Linux，但仍无法运行相关的函数绕过。怀疑是.htaccess文件，而这里需要php文件才行。...第五步，我们在该题目提供的config.php文件中发现了数据库的配置信息。接着我想flag是否藏在数据库表中。 config.php文件如下：在数据库中添加信息的root用户和密码。

4.8K2 1

老生常谈的无字母数字Webshell总结

($_POST[_]); 看到代码中的下划线_、__、___是一个变量，因为 preg_match() 过滤了所有的字母，我们只能用下划线来作变量名。...\n"; } } } } fwrite($myfile,$contents); fclose($myfile); 首先运行以上 PHP 脚本后，会生成一个 txt 文档 xor_rce.txt，里面包含所有可见字符的异或构造结果...\n"; } } } } fwrite($myfile,$contents); fclose($myfile); 首先运行以上 PHP 脚本后，会生成一个 txt 文档or_rce.txt，里面包含所有可见字符的或运算构造结果...所以，只要我们能拿到一个变量，其值为a，那么通过自增操作即可获得a-z中所有字符。那么，如何拿到一个值为字符串’a’的变量呢？...这是因为匹配到的所有的干扰文件的文件名都是小写，唯独 PHP 生成的临时文件最后一位是随机的大小写字母。最后给出一个 Payload： POST /?shell=?><?

3.6K2 0

Web安全 | 无字母数字Webshell 总结

所谓无字母数字 Webshell，其基本原型就是对以下代码的绕过：了，但是我们可以用另外两种短标签进行绕过，并且在短标签中的代码不需要使用分号 ; 。其中，相当于对 <?...[_]); 看到代码中的下划线 _、__、___ 是一个变量，因为 preg_match() 过滤了所有的字母，我们只能用下划线来作变量名。...所以，只要我们能拿到一个变量，其值为 a，那么通过自增操作即可获得 a-z 中所有字符。那么，如何拿到一个值为字符串'a'的变量呢？...这是因为匹配到的所有的干扰文件的文件名都是小写，唯独 PHP 生成的临时文件最后一位是随机的大小写字母。最后给出一个 Payload： POST /?shell=?><?

5.5K1 0

命令执行漏洞

preg_match() preg_match(pattern, input, matches, flags, offset) php中的通配符和Linux的通配符相同 *可以代表任意个字符？...include "header.htm"; 上面的header.htm中可以php语句，因为可以包含html静态文件，所以可以设计缓存机制，比如把一些页面分为几部分，有一些读取数据库耗费效率的部分可以缓存为...()函数返回由所有已经定义的变量所组成的数组 array get_defined_vars(void); 返回值：返回一个包含所有已经定义变量列表的多维数组，这些变量包括环境变量，服务器变量，和用户定义的变量...c=print_r(get_defined_vars()); 发现是通过post给这个数组传参，尝试加一个post值 post传参后回显为了拿到array中的那个phpinfo()的字符串，rce...rce_or.php") #没有将php写入环境变量需手动运行 if(len(argv)!

2781 0

phar反序列化

具体利用有一说一，虽然看了一些文章来了解phar反序列化的作用原理，但是由于没有具体做题以至于对这个反序列化还是一知半解，甚至连怎么做都不知道，不过后来看了bilala师傅的wp才知道该如何下手做。...[0]; if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {...if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) { die("...当一个对象没有被引用时，PHP就会将其视为“垃圾”，这个”垃圾“会被回收，回收过程中就会触发析构函数，可以通过取消原本对getflag的应用，从而出发对他的析构函数。...，也就无法触发析构函数而后两种只是抛出异常，但仍会继续执行程序数组绕过preg_match 在题中POST[0]传入数组即可绕过关键字检测，就可以直接写入phar文件的内容了，无需对phar文件做额外处理

1020 0

PHP代码审计笔记

= preg_match("/hongya....如果发生错误preg_match()返回 FALSE。...php @preg_replace(``"/[pageerror]/e"``,$_POST[``'error'``],``"saft"``); 关于GPC和REQUESTS 字母出现顺序越靠后则数据加载的顺序越靠前...，也就是说如果以POST、GET方式传入同样的变量，那么用REQUEST获取的就是POST的变量值。...内置了多种处理器用于存取PHP 内置了多种处理器用于存取 $_SESSION 数据时会对数据进行序列化和反序列化，常用的有以下三种，对应三种不同的处理格式：处理器对应的存储格式 php 键名＋

1.2K4 0

BJD WEB

/i'; if (isset($_POST['q1']) && isset($_POST['q2']) && isset($_POST['q3']) ) { $url = $_POST['q2...preg_match('/^POST/i', $method)) { die($str4); } $detect = @file_get_contents($url, false...> 代码审计可以得到写思路 1.首先对session进行了限制 2.post传参p1,p2,p3。而且p2会被加上.y1ng.txt,拼接url。q3会传给$method 3.不能出现flag!...4.必须要有http://127.0.0.1 5.q3传过来的$method必须含有GET或者POST 通过home文件的代码我们可以猜测到存在admin.php文件然后下面就是要开始构造payload...对于%d可以发现代码中的$method和%d是连起来的，可以用GET%s来格式化，还需要把%d转义掉，对于sprintf()函数，对百分号的转义是用2个%而不是反斜线 GET%s% 所以依次输入便可以查询到

4223 0

WriteUp分享 | LCTF的一道preg_match绕过+出题人的锅

###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');//$admin是每次随机生成的，碰撞的可能性是1/（35*35） preg_match...我比赛用的方法很匪夷所思，赛后跟出题人交流才知道原因，这是他的答复导致数据库的user表和identities表清空的频率很快可以反复注册同一个账户登陆进去后，刚开始是guest，等一会刷新以下...，你会发现你不是guest了，因为identities表清空了，自然就绕过了member.php的逻辑同时也有条件竞争的解法第一天出题者的数据库还是正常的，这个时候就只能注册不同用户，代码的逻辑是...这之间有个间隙，而且由于pre_match()函数处理慢，这个间隙还是可利用的，code大概20个字符就能挺拖速度了，大概每秒注册10个用户，然后另一边同时用这10个用户去登陆，就能绕过guest了第二天数据库异常...session memeber.php的会检测session 那么如果我们用脚本不断得注册并访问login.php，当member刚运行完此处 $_SESSION['is_logined'] 和 $_SESSION

7.7K6 0

Dedecms 中的预认证远程代码执行

在审核目标时，我首先问自己的一件事是：应用程序如何接受输入？...//老版本的MYSQL不支持子查询，我们的程序里可能也用得少，但是黑客可以使用它来查询数据库敏感信息 elseif (preg_match('~\([^)]*?...$magic_quotes_gpc) { $svar = addslashes($svar); } return $svar; } /* 对_GET,_POST,_COOKIE...有可能登陆此接收器并绕过addslashes触发未经身份验证的 SQL 注入： POST /plus/bookfeedback.php?...Display 概念证明可以借用他们自己的代码并调用危险函数，但无论如何都有几种通用方法可以绕过拒绝列表。不检查引用标头的双引号，因此以下有效负载将起作用： GET /plus/flink.php?

4.1K5 0

ciscn2019华北赛区半决赛day1web5CyberPunk

php #change.php require_once "config.php"; if(!empty($_POST["user_name"]) && !...($_POST["address"]); $phone = $_POST["phone"]; if (preg_match($pattern,$user_name) || preg_match...php #search.php require_once "config.php"; if(!empty($_POST["user_name"]) && !...["phone"]; if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ $msg = '...payload使用两个payload的使用方法为：先在初始页面随便输数据，记住姓名电话 ? 接着修改地址，地址修改为所构造的payload。

7832 0

CTFSHOW刷题之旅--命令执行(未更新完)

php if(isset($_POST['c'])){ $c = $_POST['c']; if(!...[@-[] 所以说这里我们就可以构造一个post的数据包去一边上传临时文件一边执行文件命令即---条件竞争(记得要多点几次) web57 <?...php if(isset($_POST['c'])){ $c= $_POST['c']; eval($c); }else{ highlight_file(__FILE...php if(isset($_POST['c'])){ $c= $_POST['c']; eval($c); }else{ highlight_file(__FILE...php error_reporting(0); ini_set('display_errors', 0); if(isset($_POST['c'])){ $c= $_POST['c']

7.3K2 1

SQL注入攻击与防御举例

php include 'config.php'; $username = $_POST['username']; $password = $_POST['password']; if(!...数据库中密码明文不太好，顺便md5处理一下，加盐效果更好，可以防止数据库被黑了导致敏感信息泄漏。 $password = md5($_POST['password']); if(!...["phone"]; if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){ $msg = '...预编译能防止SQL注入是因为SQL语句在执行前经过编译后，数据库将以参数化的形式进行查询，当运行时动态地把参数传给预处理语句时，即使参数里有敏感字符如 'or''='数据库也会将其作为一个字段的属性值来处理而不会作为一个...php include 'config.php'; $username = $_POST['username']; $password = md5($_POST['password']); if(!

9903 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云