Wenn Freunde die PHP-Sprache lernen, werden sie im eigentlichen Entwicklungsprozess auf jeden Fall auf Sicherheitsprobleme achten. Deshalb stellen wir Ihnen heute die wichtigste Maßnahme zur Gewährleistung der PHP-Sicherheitsüberprüfungsdaten vor. Die Validierung von Daten ist die wichtigste Gewohnheit, die Sie sich aneignen können. Und wenn es um Eingaben geht, ist es ganz einfach: Vertraue dem Benutzer nicht. Denken Sie bei der Validierung von Daten zur Sicherung von PHP daran, dass es oft einfacher ist, die von Ihrer Anwendung zugelassenen Werte zu entwerfen und zu validieren, als sie vor allen unbekannten Werten zu schützen.
Nachfolgend finden Sie allgemeine Validierungstipps, die für verschiedene Arten von Validierungsdaten gelten:
1. Verwenden Sie Werte aus der Whitelist
2. Validieren Sie begrenzte Optionen immer erneut
3. Verwenden Sie die integrierte Escape-Funktion
4. Überprüfen Sie, ob der korrekte Datentyp (z. B. eine Zahl)
Der Wert auf der weißen Liste ist. ist der korrekte Wert, im Gegensatz zu einem ungültigen Blacklist-Wert (Blacklist-Wert). Der Unterschied zwischen beiden besteht darin, dass bei der Validierung von Daten normalerweise die Liste oder der Bereich möglicher Werte kleiner ist als die Liste oder der Bereich ungültiger Werte, von denen viele unbekannte oder unerwartete Werte sein können.
Zu diesem Zweck bietet unsere chinesische PHP-Website 10 nützliche PHP-Datenüberprüfungsbibliotheken, die jeder herunterladen und nutzen kann. (Hinweis: Weitere Ressourcen zur Datenvalidierungsbibliothek finden Sie unter: PHP-Bibliothek für chinesische Website-Datenvalidierungsklassen
1.PHP-Code-Implementierungsformular-Datenvalidierungsklassenbibliothek
Führt den PHP-Code zur Implementierung der Formulardatenüberprüfungsklasse ein, z. B. Überprüfung der Rechtmäßigkeit des Eingabeinhalts, Beurteilung von Chinesisch und Englisch, ob die Zeichenfolgenlänge den Anforderungen entspricht, Überprüfung von Mobiltelefonnummer und E-Mail-Adresse, Erstellung von Miniaturansichten , IP-Adresse abrufen und Remote-Bilder erfassen. Dies ist ein sehr umfassender Formularvalidierungskurs, in dem fast alle Validierungen enthalten sind, sodass er für jeden leicht zu erlernen und zu verwenden ist. 2.PHP-Verifizierungs-Anmeldeklasse
führt eine einfache PHP-Implementierung des Benutzeranmelde- und Verifizierungsklassencodes ein, ohne Anmeldung und Datenbankabfrage, Cookie-Einstellungen, Datenbankeinstellungen, Benutzerakquisewert, Verifizierungssitzung, Verifizierungs-COOKIE. 3.PHP-Parameterfilterung, Datenfilterklasse
Grundprinzipien der PHP-Übermittlungsdatenfilterung1) Bei der Übermittlung von Variablen an die Datenbank verwenden wir muss addslashes() zum Filtern verwenden. Unser Injektionsproblem kann beispielsweise mit nur einem addslashes() gelöst werden. Wenn es um Variablenwerte geht, ist die Funktion intval() tatsächlich auch eine gute Wahl zum Filtern von Zeichenfolgen.2) Aktivieren Sie magic_quotes_gpc und magic_quotes_runtime in php.ini. magic_quotes_gpc kann die Anführungszeichen in get, post und cookie in Schrägstriche umwandeln. magic_quotes_runtime kann eine formatierende Rolle bei der Eingabe und Ausgabe von Daten in die Datenbank spielen. Tatsächlich war dieser Parameter in den alten Zeiten, als Injektionen verrückt waren, sehr beliebt.
3) Wenn Sie Systemfunktionen verwenden, müssen Sie zum Filtern die Parameter escapeshellarg() und escapeshellcmd() verwenden, damit Sie Systemfunktionen sicher verwenden können.
4) Für Cross-Site sind beide Parameter von strip_tags() und htmlspecialchars() gut und alle von Benutzern übermittelten Tags mit HTML und PHP werden konvertiert. Beispielsweise werden spitze Klammern „<“ in harmlose Zeichen wie „<“ umgewandelt.
$new = htmlspecialchars("Test", ENT_QUOTES);
strip_tags($text,);
5) Zum Filtern verwandter Funktionen, Genau wie beim vorherigen include(), unlink, fopen() usw., solange Sie die Variablen angeben, mit denen Sie die Operation ausführen möchten, oder die relevanten Zeichen streng filtern
PHP-ID-Verifizierungsbezogene Klasse. PHP erhält automatisch die entsprechende Konstellationsfunktion basierend auf der ID-Nummer, gibt automatisch die entsprechende Konstellation basierend auf der ID-Nummer zurück und gibt automatisch das entsprechende Sternzeichen zurück auf der ID-Nummer, gibt automatisch das Geschlecht entsprechend der ID-Nummer zurück, prüft, ob es sich um die ID-Nummer handelt, und extrahiert die entsprechenden Zeichen aus der Bestätigungscodezeichenfolge entsprechend der Seriennummer.
5.
PHP-DatenprüfungsklasseFührt eine PHP-Datenprüfungsklasse ein, die häufig in der PHP-Entwicklung zum Lernen und Nachschlagen verwendet wird, mit einigen hinzugefügten Beurteilungen, wie zum Beispiel: Ob es ist IPv4, ob es sich um eine E-Mail-Adresse handelt, ob es sich um eine URL handelt, ob es sich um eine positive Ganzzahl handelt, ob es innerhalb des Bereichs liegt und ob es eine gültige Länge hat.
6.
Eine gute PHP-ÜberprüfungsklasseNummernüberprüfung, Namensübereinstimmung, wie Benutzername, Verzeichnisname usw., ob Chinesisch unterstützt werden soll, standardmäßig unterstützt , wenn ja, passende Dateinamen, es wird empfohlen, dies zu deaktivieren (falsch), E-Mail-Verifizierung, Mobiltelefonnummer-Verifizierung, URL-Verifizierung, reines URL-Format, IP-Verifizierung wird nicht unterstützt.
7.
Umfassende PHP-VerifizierungsklasseTeilen Sie eine erweiterbare und voll funktionsfähige PHP-Verifizierungsklasse, die Sie selbst anpassen und implementieren können. Nun zur grundlegenden Implementierung. Wenn Sie eine Regel hinzufügen müssen, definieren Sie die Methode direkt. Der Methodenname ist der Regelname. Weitere Informationen finden Sie in der Verwendungsmethode.
8. Die einfache Datenüberprüfungs-PHP-Klasse von TP3.2
wird für die Überprüfung von Modelleingabedaten verwendet. Wenn wir Daten im Modell verarbeiten, müssen wir zu diesem Zeitpunkt möglicherweise beurteilen, ob weniger Parameter vorhanden sind und ob das Format der Parameter korrekt ist Wenn es jedes Mal viele Urteile gibt, wird es sehr mühsam sein. Ich habe zuvor CI verwendet, das eine Klasse zum Überprüfen der vom Formular übermittelten Daten hat, und dann habe ich diese Methode gemäß meiner Gewohnheit geschrieben.
Überprüfen Sie, ob die Eingabe eine Zahl ist, prüfen Sie, ob die Eingabe eine Telefonnummer ist, prüfen Sie, ob die Eingabe eine Mobiltelefonnummer ist, Überprüfen Sie, ob es sich bei der Eingabe um eine Mobiltelefonnummer handelt. Für die Überprüfung der Postleitzahl, der E-Mail-Adresse und der Legalität von Namen und Spitznamen können Sie nur Chinesisch und Englisch eingeben, um zu überprüfen, ob ein (englischer) Domainname legal ist.
10. Gemeinsame PHP-Formularvalidierungsklassen
Einführung in die Verwendung gängiger PHP-Formularvalidierungsklassen und Analyse gängiger PHP-Validierungstechniken für Formularelemente anhand von Beispielen. Sonderzeichen für den Datenexport und die Wiederherstellung. Der eingehende Wert kann eine Zeichenfolge oder ein ein-/zweidimensionales Array sein Array.
[Empfehlungen für verwandte Bibliotheken]
2 . [PHP-Klassenbibliothek per E-Mail senden] 10 PHP-Klassenbibliothek per E-Mail herunterladen
4.[Klasse für PHP-Bestätigungscodes] Teilen Sie 10 nützliche Klassencodes für PHP-Bestätigungscodes