Bagaimana untuk mengesan dan menapis input pengguna menggunakan fungsi PHP?

Bagaimana untuk mengesan dan menapis input pengguna menggunakan fungsi PHP?

Apabila membina tapak web atau apl, data yang dimasukkan pengguna tidak dapat dielakkan. Walau bagaimanapun, data yang dimasukkan pengguna mungkin mengandungi skrip berbahaya atau aksara khas, mengancam keselamatan tapak web. Untuk memastikan data yang dimasukkan oleh pengguna adalah selamat dan boleh dipercayai, kami perlu menggunakan fungsi PHP yang sesuai untuk mengesan dan menapis input pengguna.

1. Mengesan input pengguna

Sebelum menerima input pengguna, kita boleh menggunakan beberapa fungsi PHP untuk mengesan kesahihan data input. Berikut ialah beberapa fungsi pengesanan yang biasa digunakan: Fungsi

• isset() digunakan untuk mengesan sama ada pembolehubah telah ditetapkan dan bukan nol. isset()函数用于检测一个变量是否已被设置和非空。
• empty()函数用于检测一个变量是否为空。对于用户输入，可以通过trim()函数去除前后空格再进行判断。
• is_numeric()函数用于检测一个变量是否为数字。

示例代码如下：

if (isset($_POST['username']) && !empty(trim($_POST['username']))) {
    $username = $_POST['username'];
    // 用户名存在且非空，进行下一步操作
} else {
    // 用户名为空，给出错误提示
}

if (isset($_POST['age']) && is_numeric($_POST['age'])) {
    $age = $_POST['age'];
    // 年龄为数字，进行下一步操作
} else {
    // 年龄为空或不是数字，给出错误提示
}

2. 过滤用户输入

除了检测用户输入的合法性之外，我们还需要过滤用户输入，以防止恶意脚本和特殊字符的攻击。以下是几个常用的过滤函数：

• htmlspecialchars()函数用于转义用户输入中的特殊字符，如f0716db3133e0490abbaa904fd4133e5、&等。
• strip_tags()函数用于去除用户输入中的HTML和PHP标签。
• filter_var()
Fungsi empty() digunakan untuk mengesan sama ada pembolehubah kosong. Untuk input pengguna, anda boleh menggunakan fungsi trim() untuk mengalih keluar ruang hadapan dan belakang sebelum menilai. Fungsi

is_numeric() digunakan untuk mengesan sama ada pembolehubah ialah nombor.

3. Kod sampel adalah seperti berikut:

$username = htmlspecialchars($_POST['username']); // 转义特殊字符
$bio = strip_tags($_POST['bio']); // 去除HTML和PHP标签

$email = $_POST['email'];
if (filter_var($email, FILTER_VALIDATE_EMAIL)) {
    // 邮箱格式正确，进行下一步操作
} else {
    // 邮箱格式不正确，给出错误提示
}

Menapis input pengguna

Selain mengesan kesahihan input pengguna, kami juga perlu menapis input pengguna untuk mengelakkan serangan oleh skrip berniat jahat dan watak istimewa. Berikut ialah beberapa fungsi penapisan yang biasa digunakan: Fungsi

htmlspecialchars() digunakan untuk melepaskan aksara khas dalam input pengguna, seperti 68d687f5a0cabed7ef4cbdc5e9d691b0 , &, dsb. Fungsi
strip_tags() digunakan untuk mengalih keluar tag HTML dan PHP daripada input pengguna.
Fungsi filter_var() menggunakan penapis khusus untuk menapis input pengguna. 🎜🎜🎜Kod sampel adalah seperti berikut: 🎜

// 假设已经连接到数据库
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->bindParam(1, $username, PDO::PARAM_STR);
$stmt->execute();

🎜🎜Pemprosesan pertanyaan pangkalan data yang selamat🎜🎜🎜Apabila membuat pertanyaan pangkalan data, kami juga perlu memproses input pengguna untuk mengelakkan serangan suntikan SQL. Pendekatan biasa ialah menggunakan pernyataan yang disediakan dan parameter terikat untuk mengendalikan input pengguna. 🎜🎜Kod sampel adalah seperti berikut: 🎜rrreee🎜Dalam kod di atas, pernyataan yang disediakan dan parameter terikat digunakan untuk memproses nama pengguna yang dimasukkan oleh pengguna. Ini memastikan bahawa input pengguna tidak dilaksanakan sebagai sebahagian daripada pernyataan SQL, dengan itu menghalang serangan suntikan SQL. 🎜🎜Ringkasan: 🎜🎜Dalam pembangunan, kita mesti sedar tentang ketidakpercayaan input pengguna dan mengambil langkah yang sesuai untuk mengesan dan menapis input pengguna. PHP menyediakan banyak fungsi terbina dalam untuk membantu kami mencapai matlamat ini. Dengan kaedah pengesanan dan penapisan yang sesuai, kami boleh meningkatkan keselamatan tapak web dan melindungi privasi pengguna dan keselamatan data. 🎜

Atas ialah kandungan terperinci Bagaimana untuk mengesan dan menapis input pengguna menggunakan fungsi PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!