Memperkenalkan penapisan parameter php dan penapisan data php kepada semua orang, termasuk prinsip asas penapisan data yang diserahkan php dan penapisan data mudah php
Prinsip asas penapisan data penyerahan PHP
1) Apabila menyerahkan pembolehubah ke dalam pangkalan data, kita mesti menggunakan addslashes() untuk penapisan Sebagai contoh, masalah suntikan kita boleh diselesaikan dengan hanya satu addslashes(). Malah, apabila ia berkaitan dengan nilai pembolehubah, fungsi intval() juga merupakan pilihan yang baik untuk menapis rentetan.
2) Dayakan magic_quotes_gpc dan magic_quotes_runtime dalam php.ini. magic_quotes_gpc boleh menukar tanda petikan dalam get, post dan cookie menjadi garis miring. magic_quotes_runtime boleh memainkan peranan pemformatan untuk data masuk dan keluar dari pangkalan data. Malah, parameter ini sangat popular sejak zaman dahulu apabila suntikan adalah gila.
3) Apabila menggunakan fungsi sistem, anda mesti menggunakan parameter escapeshellarg(), escapeshellcmd() untuk menapis, supaya anda boleh menggunakan fungsi sistem dengan yakin.
4) Untuk tapak silang, kedua-dua parameter strip_tags() dan htmlspecialchars() adalah baik Semua teg dengan html dan php yang diserahkan oleh pengguna akan ditukar. Contohnya, kurungan sudut "<" akan ditukar kepada aksara tidak berbahaya seperti "<".
$new = htmlspecialchars("<a href='test'>Ujian</a>", ENT_QUOTES);
strip_tags($text,);
5) Untuk penapisan fungsi yang berkaitan, sama seperti include(), nyahpaut, fopen(), dsb. sebelumnya, asalkan anda menentukan pembolehubah yang anda ingin lakukan operasi atau menapis aksara yang berkaitan dengan ketat