如何進(jìn)行PHP中的數(shù)據(jù)過(guò)濾和驗(yàn)證

今天就跟大家聊聊有關(guān)如何進(jìn)行PHP中的數(shù)據(jù)過(guò)濾和驗(yàn)證，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

永遠(yuǎn)不要信任外部輸入，不要相信任何來(lái)自不受自己直接控制的數(shù)據(jù)源中的數(shù)據(jù)。實(shí)際開(kāi)發(fā)中，總有人有意或無(wú)意的把危險(xiǎn)數(shù)據(jù)注入PHP代碼中，因此PHP安全編程變得和重要，一般我們處理外部輸入安全思路是：過(guò)濾輸入、驗(yàn)證數(shù)據(jù)。

過(guò)濾輸入

過(guò)濾輸入是指將來(lái)自外部數(shù)據(jù)中不安全的字符轉(zhuǎn)義或刪除。

外部輸入可以是任何東西：$_GET 和 $_POST 等表單輸入數(shù)據(jù)，$_SERVER 超全局變量中的某些值，還有通過(guò) fopen('php://input', 'r') 得到的 HTTP 請(qǐng)求體。記住，外部輸入的定義并不局限于用戶(hù)通過(guò)表單提交的數(shù)據(jù)。上傳和下載的文檔，session 值，cookie 數(shù)據(jù)，還有來(lái)自第三方 web 服務(wù)的數(shù)據(jù)，這些都是外部輸入。

在數(shù)據(jù)到達(dá)存儲(chǔ)層（MySQL或Redis）前一定要過(guò)濾輸入的數(shù)據(jù)，這是第一道防線。

假如有人在評(píng)論框中輸入以下內(nèi)容并提交：

<script>alert("Helloweba");</script>

很顯然，這里加了惡意的<script>標(biāo)簽，如果我們不加任何處理，那么數(shù)據(jù)就直接進(jìn)存儲(chǔ)層了，然后用戶(hù)再瀏覽網(wǎng)頁(yè)的時(shí)候就會(huì)輸出彈出警告框了。所以這就是我們?yōu)槭裁床灰嘈湃魏瓮獠枯斎氲脑颉?/p>

那么，如何使用PHP處理過(guò)濾輸入數(shù)據(jù)呢？以下是我的幾點(diǎn)建議：

1、對(duì)于需要輸出到頁(yè)面的內(nèi)容，使用strip_tags()函數(shù)來(lái)去除 HTML 標(biāo)簽或者使用 htmlentities()或是htmlspecialchars()函數(shù)來(lái)對(duì)特殊字符分別進(jìn)行轉(zhuǎn)義從而得到各自的HTML實(shí)體，避免XSS攻擊。如對(duì)上面的script腳本過(guò)濾：

<?php $input = '<script>alert("Helloweba");</script>'; echo htmlentities($input, ENT_QUOTES, 'utf-8');

２、如果需要傳入能夠在命令行中執(zhí)行的選項(xiàng)，調(diào)用exec()等函數(shù)時(shí)要格外小心。你可以使用自帶的 escapeshellarg()函數(shù)來(lái)過(guò)濾執(zhí)行命令的參數(shù)。

３、通過(guò)輸入數(shù)據(jù)拼接構(gòu)建的SQL查詢(xún)語(yǔ)句，一定要注意使用PDO預(yù)處理。PDO是PHP內(nèi)置的數(shù)據(jù)庫(kù)抽象層，使用一個(gè)接口表示多種數(shù)據(jù)庫(kù)。PDO預(yù)處理語(yǔ)句是PDO提供的一個(gè)工具，用于過(guò)濾外部數(shù)據(jù)，然后把過(guò)濾后的數(shù)據(jù)嵌入SQL語(yǔ)句中，避免SQL注入。

４、當(dāng)接收外部輸入來(lái)從文件系統(tǒng)中加載文件。這可以通過(guò)將文件名修改為文件路徑來(lái)進(jìn)行利用。你需要過(guò)濾掉"/", "../", null 字符或者其他文件路徑的字符來(lái)確保不會(huì)去加載隱藏、私有或者敏感的文件。

5、盡量不要使用正則表達(dá)式函數(shù)過(guò)濾HTML輸入，如preg_replace()和preg_replace_all()，正則表達(dá)式很復(fù)雜，一不小心就掉坑里了，出錯(cuò)幾率高。

驗(yàn)證數(shù)據(jù)

與過(guò)濾輸入不同，驗(yàn)證數(shù)據(jù)不會(huì)從輸入數(shù)據(jù)中刪除信息，而是只確認(rèn)輸入數(shù)據(jù)是否符合預(yù)期，比如輸入的數(shù)據(jù)是否是Email郵箱、手機(jī)號(hào)碼、數(shù)字等等。這種數(shù)據(jù)我們或叫做無(wú)效數(shù)據(jù)，我們驗(yàn)證這種無(wú)效數(shù)據(jù)，并阻止其進(jìn)入數(shù)據(jù)存儲(chǔ)層，并適當(dāng)?shù)奶崾居脩?hù)錯(cuò)誤的輸入信息。

PHP的filter_var()和 filter_input()函數(shù)可以過(guò)濾文本并對(duì)格式進(jìn)行驗(yàn)證。PHP提供了驗(yàn)證布爾值、Email、浮點(diǎn)數(shù)、整數(shù)、IP地址、MAC地址、正則表達(dá)式以及URL地址的標(biāo)志，如以下代碼是驗(yàn)證輸入的郵箱是否正確：

$input = 'hello@example.com'; $isEmail = filter_var($input, FILTER_VALIDATE_EMAIL); if ($isEmail !== false) {    echo '驗(yàn)證結(jié)果：成功'; } else {    echo '驗(yàn)證結(jié)果：失敗'; }

我們需要特別注意filter_var()函數(shù)的返回值，如果驗(yàn)證成功，返回的是要驗(yàn)證的值，如果驗(yàn)證失敗，則返回false。

附PHPfilter_var()函數(shù)的驗(yàn)證標(biāo)志：

FILTER_VALIDATE_BOOLEAN：　布爾值

FILTER_VALIDATE_EMAIL：　Email

FILTER_VALIDATE_FLOAT：　浮點(diǎn)數(shù)

FILTER_VALIDATE_INT：　整數(shù)

FILTER_VALIDATE_IP：　IP地址

FILTER_VALIDATE_MAC：　MAC地址

FILTER_VALIDATE_REGEXP：　正則表達(dá)式

FILTER_VALIDATE_URL：　URL地址

最后，說(shuō)明下，黑客都是通過(guò)使用工具或非正常手段，繞過(guò)我們的前端驗(yàn)證，構(gòu)建危險(xiǎn)數(shù)據(jù)進(jìn)行WEB滲透，所以我們代碼開(kāi)發(fā)時(shí)，尤其是后端開(kāi)發(fā)，安全是我們的首要任務(wù)。接下來(lái)Helloweba將繼續(xù)給大家提供開(kāi)發(fā)級(jí)別的安全防范文章，敬請(qǐng)關(guān)注。

看完上述內(nèi)容，你們對(duì)如何進(jìn)行PHP中的數(shù)據(jù)過(guò)濾和驗(yàn)證有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。