php 过滤用户输入危险字符串

基础概念

PHP 过滤用户输入危险字符串是指对用户提交的数据进行检查和清理，以防止恶意代码注入、SQL 注入、跨站脚本攻击（XSS）等安全问题。这通常涉及到对输入数据的验证、过滤和转义。

类型

输入验证：检查输入数据的格式、长度、类型等是否符合预期。
输入过滤：去除或替换掉不安全的字符或字符串。
输入转义：对特殊字符进行转义，防止它们被解释为代码。

应用场景

Web 表单：处理用户提交的表单数据。
数据库操作：防止 SQL 注入攻击。
文件上传：防止恶意文件上传。
URL 参数：防止 URL 注入攻击。

常见问题及解决方法

1. SQL 注入

问题描述：用户输入的字符串被当作 SQL 代码执行，导致数据泄露或被篡改。

解决方法：使用预处理语句和参数绑定。

// 使用 PDO 预处理语句
$pdo = new PDO('mysql:host=localhost;dbname=test', 'username', 'password');
$stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND password = :password');
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

2. 跨站脚本攻击（XSS）

问题描述：用户输入的字符串被当作 HTML 代码执行，导致页面被篡改或用户数据泄露。

解决方法：对用户输入进行 HTML 转义。

// 使用 htmlspecialchars 函数
$input = $_POST['input'];
$safe_input = htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
echo $safe_input;

3. 文件上传漏洞

问题描述：用户上传的文件可能包含恶意代码，导致服务器被攻击。

解决方法：对上传的文件进行严格的检查和过滤。

// 检查文件类型和大小
if (isset($_FILES['file'])) {
    $file = $_FILES['file'];
    $file_name = $file['name'];
    $file_tmp = $file['tmp_name'];
    $file_size = $file['size'];
    $file_type = $file['type'];

    // 只允许上传特定类型的文件
    $allowed_types = ['image/jpeg', 'image/png'];
    if (in_array($file_type, $allowed_types)) {
        // 移动文件到指定目录
        move_uploaded_file($file_tmp, 'uploads/' . $file_name);
    } else {
        echo "Invalid file type.";
    }
}