php interdit le code de la zone de saisie

Avec le développement rapide d'Internet, de plus en plus de sites Web choisissent d'utiliser le langage PHP pour leur développement. En PHP, la zone de saisie est un élément très courant qui peut être utilisé pour recevoir les entrées de l'utilisateur. Cependant, dans certains cas, nous souhaitons empêcher les utilisateurs de saisir des codes spécifiques, tels que des scripts JavaScript ou des balises HTML, afin d'éviter les attaques malveillantes et l'injection de code. Alors, comment implémenter l’interdiction du code de zone de saisie en PHP ? Ci-dessous, nous vous présenterons plusieurs méthodes de mise en œuvre.

Méthode 1 : Utiliser la fonction htmlspecialchars

La fonction htmlspecialchars est une fonction fournie par PHP pour convertir les caractères spéciaux en entités HTML. Sa fonction est d'éviter le problème de saisie et de sortie des balises HTML. Lorsque le code de la zone de saisie est interdit, nous pouvons utiliser cette fonction pour convertir les balises HTML de la zone de saisie en entités, empêchant ainsi efficacement les utilisateurs de saisir du code malveillant. Le code spécifique est le suivant :

<?php
$input = $_POST['input']; //获取用户输入的值
$input = htmlspecialchars($input, ENT_QUOTES); //将输入框的HTML标签转化为实体
?>
<input type="text" name="input" value="<?php echo $input; ?>"> //输出转化后的值

Il est à noter que cette méthode ne peut qu'empêcher l'injection de balises HTML et est impuissante face aux codes malveillants tels que les scripts JavaScript.

Méthode 2 : utilisez la fonction preg_replace

La fonction preg_replace est une fonction fournie par PHP pour remplacer les modèles correspondants dans les chaînes. Elle peut très facilement remplacer la chaîne spécifiée par un autre contenu. Lors de la suppression du code de la zone de saisie, nous pouvons utiliser cette fonction pour faire correspondre le code malveillant saisi par l'utilisateur et le remplacer par un autre contenu. Le code spécifique est le suivant :

<?php
$input = $_POST['input']; //获取用户输入的值
$pattern = '/<(\s*\/?\s*)script(\s*|\s+.*)>/i'; //匹配script标签
$input = preg_replace($pattern, ' ', $input); //替换为一个空格
?>
<input type="text" name="input" value="<?php echo $input; ?>"> //输出替换后的值

Cette méthode peut faire correspondre davantage de codes malveillants en définissant différents modes de correspondance et en les remplaçant par un contenu différent. Mais il convient de noter que lorsque vous utilisez des expressions régulières pour faire correspondre des chaînes, vous devez faire attention à la sécurité et à la précision.

Méthode 3 : Utilisez la fonction strip_tags

La fonction strip_tags est une fonction fournie par PHP pour filtrer les balises HTML et PHP dans les chaînes. Elle peut très facilement filtrer les balises HTML et PHP dans la zone de saisie pour empêcher l'injection de code malveillant. Le code spécifique est le suivant :

<?php
$input = $_POST['input']; //获取用户输入的值
$input = strip_tags($input); //过滤掉HTML和PHP标签
?>
<input type="text" name="input" value="<?php echo $input; ?>"> //输出过滤后的值

Il convient de noter que l'utilisation de cette méthode filtrera toutes les balises HTML et PHP dans la zone de saisie, ce qui peut affecter l'expérience de saisie de l'utilisateur.

Méthode 4 : Utiliser des bibliothèques tierces

En plus d'utiliser les fonctions propres de PHP, nous pouvons également choisir d'utiliser certaines bibliothèques tierces pour traiter le code malveillant dans la zone de saisie utilisateur. Par exemple, HTMLPurifier est une bibliothèque PHP permettant de filtrer et de nettoyer le texte HTML et XML. Il peut filtrer les balises et attributs dangereux, empêchant ainsi efficacement l’injection de code malveillant.

Ci-dessus, il existe plusieurs façons de désactiver le code de la zone de saisie en PHP. La méthode à utiliser peut être choisie en fonction de la situation réelle. Il convient de noter que lors du traitement des données saisies par l'utilisateur, vous devez faire attention à la sécurité et éviter les attaques malveillantes et l'injection de code.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!