欢乐你我 - Discuz常用过滤函数

Discuz常用过滤函数

大米 2020-6-6 17:01 0 204

1.整数过滤：

intval();

特别注意，用intval处理一个非数字的字符串，仍然可以得出一个数字的结果，比如intval("abcdefg+123456abcdefg-1111"); 结果为123456。
因为intval的原理是：从左边第一个数字（或正负号）开始，一直读到数字结束。
还有特别要注意的，intval不会解决负数的问题，建议再进行 > 0 的检查

2.字符串：

daddslashes();

Discuz专用，可能要进库的字符串和数组过滤常重要的一个过滤，尤其要注意，不要重复过滤。
自X2.5起，用于数据操作的select、update、insert、delete(SUID)等被DB封装的函数，对所传入的参数会进行必要的安全处理。所以没必要重复处理

3.对于不应该有HTML的文本

strip_tags();

这主要是 XSS 的要求，避免被 XSS ，重点就是避免用户的HTML标签直接输出到浏览器上。

4.对于可能有HTML的文本

dhtmlspecialchars();

Discuz专用，同strip_tags()，有区别的是，他不会去掉标签，而是变成可阅读的样式。

5.过滤危险HTML，用于第4项之前，起增强防止XSS

function checkhtml($html) {





                preg_match_all("/\<([^\<]+)\>/is", $html, $ms);



                $searchs[] = '<';

                $replaces[] = '<';

                $searchs[] = '>';

                $replaces[] = '>';



                if($ms[1]) {

                        $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';

                        $ms[1] = array_unique($ms[1]);

                        foreach ($ms[1] as $value) {

                                $searchs[] = "<".$value.">";



                                $value = str_replace('&', '_uch_tmp_str_', $value);

                                $value = dhtmlspecialchars($value);

                                $value = str_replace('_uch_tmp_str_', '&', $value);



                                $value = str_replace(array('\\','/*'), array('.','/.'), $value);

                                $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',

                                                'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',

                                                'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',

                                                'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',

                                                'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',

                                                'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',

                                                'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',

                                                'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',

                                                'onsubmit','onunload','javascript','script','eval','behaviour','expression','style');

                                $skipstr = implode('|', $skipkeys);

                                $value = preg_replace(array("/($skipstr)/i"), '.', $value);

                                if(!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {

                                        $value = '';

                                }

                                $replaces[] = empty($value)?'':"<".str_replace('"', '"', $value).">";

                        }

                }

                $html = str_replace($searchs, $replaces, $html);





        return $html;

}

6.过滤关键词

censor();

Discuz专用

7.除掉首尾空格

trim() 去除一个字符串两端空格，

rtrim() 是去除一个字符串右部空格，
ltrim() 是去除一个字符串左部空格。

扫描二维码，手机查看

声明：本文来源于互联网，观点仅代表作者本人，不代表欢乐你我,真实性请妥善甄别。

回复举报