PHPで一般的に使用されるセキュリティフィルタリング関数のコレクション、PHP関数のコレクション
さまざまな開発フレームワークが優れたセキュリティ手法を提供していますが、それでもセキュリティの問題に注意を払う必要があります。
理由は簡単です。多くの小規模な機能やプロジェクトではフレームワークが使用されておらず、セキュリティの問題を自分たちで解決する必要があるからです。
①よく使われるセキュリティ機能とは:
mysql_real_escape_string()
追加スラッシュ()
②これらの機能の役割:
Mysql_real_escape_string() 関数とaddslashes() 関数は両方とも、データ内の単一引用符と二重引用符をエスケープします。それは SQL インジェクションを防ぐためです。
ただし、mysql_real_escape_string() は文字セットを考慮しており、より安全です。
関連情報を調べた後、次の結論を導き出すことができます。現在の文字セットがシングルバイトの場合、これら 2 つの関数は同じ効果を持ち、両方ともエスケープ フィルタリングの役割を果たすことができます。しかし、誰がシングルバイトを使用するでしょうか?特にutf8はますます広く使われるようになってきています。
③機能の使い方:
mysql_real_escape_string() と addslashes() の 2 つの関数の使用法を理解するには、まず他の 2 つの関数の意味を理解する必要があります。
get_magic_quotes_gpc() と get_magic_quotes_runtime()、2 つの関数の類似点と相違点を比較してみましょう:
同じ:
a. どちらも php.ini 設定ファイルの設定を取得するために使用されます。オンの場合は 1 を返し、オフの場合は 0 を返します。
b. オンにすると、指定された範囲内のデータがエスケープされ、フィルターされます。
異なる:
a. 2 つのアクションの範囲は異なります:
magic_quotes_gpc は主に Web クライアント上で機能します。簡単に言えば、主に $_GET、$_POST、$_COOKE のデータをフィルタリングします。
magic_quotes_runtime は主に、ファイルから読み取られたデータ、またはデータベース クエリから取得されたデータをフィルタリングします。
b. 異なる設定時間:
magic_quotes_gpc は実行時に設定できません [この設定はサーバーの再起動時にのみ読み取ることができます]
magic_quotes_runtime は実行時に設定できます。
注: いわゆるランタイム設定とは、ini_set() 関数を通じてスクリプト内の php.ini ファイルに構成を設定できることを意味します。
get_magic_quotes_gpc() と get_magic_quotes_runtime() の 2 つの関数を理解した後、php.ini 設定ファイルで magic_quotes_runtime と magic_quotes_gpc が有効になっていることが検出されると、指定された範囲内のデータが自動的に転送されることを理解する必要があります。オフになっている場合は、mysql_real_escape_string()[またはフィルタリング用のlashes関数を追加]を使用する必要があります
④例:
1. magic_quotes_gpc と magic_quotes_runctime がオンかオフかに関係なく、getdata.php スクリプトはデータを安全に転送できます。
If(!get_magic_quotes_gpc()) {
foreach($_GET as $key=> &$value) {
$value = mysql_real_escape_string($value);
}
}
If(!get_magic_quotes_runtime()) {
$sourceDataRecord= file('./sourceData.txt');
if($sourceDataRecord) {
foreach($sourceDataRecord as $sourceKey => &$sourceValue) {
$sourceValue = mysql_real_escape_string($sourceValue);
}
}
}
$gpcData = implode("t", $_GET);
$runtimeData = implode("t", $sourceDataRecord);
echo $gpcData、$runtimeData;
?>
sourceData.txtの内容は次のとおりです:
「また日曜日の午後です
」 回ってます……回ってます
getData.phpをリクエストする際のURLは以下の通りです
php.test.com/safe/getdata.php?name=maw'eibin&age=25
実行結果は以下の通りです:
maw'eibin 25" また日曜日の午後ですよ、走ってます
回って……回って」
⑤参考:
http://www.bkjia.com/article/35868.htm
おっしゃるとおり、セキュリティフィルタリングはセキュリティのためにユーザーの行動を制限するために必要ですが、この制限はどのようなユーザーを対象としていると思いますか? Web サイトのセキュリティを意図的に侵害するユーザーです。いくつかの例を挙げると:
タイトル内の HTML タグをフィルタリングします。タイトルは通常プレーン テキストであるため、1. HTML タグはレイアウトを混乱させます。2. 危険なスクリプトが含まれます。3. HTML エンティティに引用符などの文字をエンコードしても、最終的な表示効果には影響しません。
テキスト タグ内の <script> を置き換えます。フィルタリングされて除外されます。なぜなら、一般のユーザーはスクリプトをまったく実行しないからです。したがって、一般に 2 つのアプローチがあります: 1. スクリプトを削除する。 2. HTML エンティティ文字を使用してタグをエンコードして、記事を表示するときにコードを実行せずにコード スニペットを表示できるようにします。 <br /> クエリ パラメーターの一重引用符をフィルターします。これは、SQL インジェクションを防ぐためです。これを実現するには、通常、次の 3 つの方法があります: 1. 引用符にバックスラッシュを追加する 2. 引用符を削除する 3. SQL の prepare を使用してパラメータを動的にバインドする <br /> つまり、ユーザー入力を信頼しないでください。制限はまだありますが、より一般のユーザーが当社のサービスをより便利に利用できるようになります。 <br /><br/>
<div class="header2"><span class="icon i-relatedanswer"><h3>PHPフィルター関数とは何ですか<div class="best-replyer">
<p class="ft p1">addslashes()<br />mysql_real_escape_string <br />データベースに挿入するときのセキュリティフィルタリング、通常はトランスコーディングに使用されます<br />htmlspecialchars: htmlシリーズにもいくつかの関数があります。これは、データをEncodeに出力するためのものです。出力データに悪意のある JS コードやその他のコードが含まれるのを防ぐため、またはトランスコーディングをブラウザーまたはターミナルで実行します<br /><br />strip_tags: これは、一部の HTML タグと一部の php タグを削除するためのものです。これらのタグをフィルタリングしたい場所ならどこでも使用できます<br/>
</script>
誇大広告を超えて:今日のPHPの役割の評価Apr 12, 2025 am 12:17 AMPHPは、特にWeb開発の分野で、最新のプログラミングで強力で広く使用されているツールのままです。 1)PHPは使いやすく、データベースとシームレスに統合されており、多くの開発者にとって最初の選択肢です。 2)動的コンテンツ生成とオブジェクト指向プログラミングをサポートし、Webサイトを迅速に作成および保守するのに適しています。 3)PHPのパフォーマンスは、データベースクエリをキャッシュおよび最適化することで改善でき、その広範なコミュニティと豊富なエコシステムにより、今日のテクノロジースタックでは依然として重要になります。
PHPの弱い参照は何ですか、そしていつ有用ですか?Apr 12, 2025 am 12:13 AMPHPでは、弱い参照クラスを通じて弱い参照が実装され、ガベージコレクターがオブジェクトの回収を妨げません。弱い参照は、キャッシュシステムやイベントリスナーなどのシナリオに適しています。オブジェクトの生存を保証することはできず、ごみ収集が遅れる可能性があることに注意する必要があります。
PHPで__invoke Magicメソッドを説明してください。Apr 12, 2025 am 12:07 AM\ _ \ _ Invokeメソッドを使用すると、オブジェクトを関数のように呼び出すことができます。 1。オブジェクトを呼び出すことができるように\ _ \ _呼び出しメソッドを定義します。 2。$ obj(...)構文を使用すると、PHPは\ _ \ _ Invokeメソッドを実行します。 3。ロギングや計算機、コードの柔軟性の向上、読みやすさなどのシナリオに適しています。
同時性については、PHP 8.1の繊維を説明します。Apr 12, 2025 am 12:05 AM繊維はPhp8.1で導入され、同時処理機能が改善されました。 1)繊維は、コルーチンと同様の軽量の並行性モデルです。 2)開発者がタスクの実行フローを手動で制御できるようにし、I/O集約型タスクの処理に適しています。 3)繊維を使用すると、より効率的で応答性の高いコードを書き込むことができます。
PHPコミュニティ:リソース、サポート、開発Apr 12, 2025 am 12:04 AMPHPコミュニティは、開発者の成長を支援するための豊富なリソースとサポートを提供します。 1)リソースには、公式のドキュメント、チュートリアル、ブログ、LaravelやSymfonyなどのオープンソースプロジェクトが含まれます。 2)StackOverFlow、Reddit、およびSlackチャネルを通じてサポートを取得できます。 3)開発動向は、RFCに従うことで学ぶことができます。 4)コミュニティへの統合は、積極的な参加、コード共有への貢献、および学習共有への貢献を通じて達成できます。
PHP対Python:違いを理解しますApr 11, 2025 am 12:15 AMPHP and Python each have their own advantages, and the choice should be based on project requirements. 1.PHPは、シンプルな構文と高い実行効率を備えたWeb開発に適しています。 2。Pythonは、簡潔な構文とリッチライブラリを備えたデータサイエンスと機械学習に適しています。
PHP:それは死にかけていますか、それとも単に適応していますか?Apr 11, 2025 am 12:13 AMPHPは死にかけていませんが、常に適応して進化しています。 1)PHPは、1994年以来、新しいテクノロジーの傾向に適応するために複数のバージョンの反復を受けています。 2)現在、電子商取引、コンテンツ管理システム、その他の分野で広く使用されています。 3)PHP8は、パフォーマンスと近代化を改善するために、JITコンパイラおよびその他の機能を導入します。 4)Opcacheを使用してPSR-12標準に従って、パフォーマンスとコードの品質を最適化します。
PHPの未来:適応と革新Apr 11, 2025 am 12:01 AMPHPの将来は、新しいテクノロジーの傾向に適応し、革新的な機能を導入することで達成されます。1)クラウドコンピューティング、コンテナ化、マイクロサービスアーキテクチャに適応し、DockerとKubernetesをサポートします。 2)パフォーマンスとデータ処理の効率を改善するために、JITコンパイラと列挙タイプを導入します。 3)パフォーマンスを継続的に最適化し、ベストプラクティスを促進します。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
SecLists
SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
EditPlus 中国語クラック版
サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません
メモ帳++7.3.1
使いやすく無料のコードエディター
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
