Discuz常用过滤函数
1.整数过滤:
特别注意,用intval处理一个非数字的字符串,仍然可以得出一个数字的结果, 比如intval("abcdefg+123456abcdefg-1111"); 结果为123456。
因为intval的原理是:从左边第一个数字(或正负号)开始,一直读到数字结束。
还有特别要注意的,intval不会解决负数的问题,建议再进行 > 0 的检查
2.字符串:
Discuz专用,可能要进库的字符串和数组过滤 常重要的一个过滤,尤其要注意,不要重复过滤。
自X2.5起,用于数据操作的select、update、insert、delete(SUID)等被DB封装的函数,对所传入的参数会进行必要的安全处理。所以没必要重复处理
3.对于不应该有HTML的文本
这主要是 XSS 的要求,避免被 XSS ,重点就是避免用户的HTML标签直接输出到浏览器上。
4.对于可能有HTML的文本
Discuz专用,同strip_tags(),有区别的是,他不会去掉标签,而是变成可阅读的样式。
5.过滤危险HTML,用于第4项之前,起增强防止XSS
6.过滤关键词
Discuz专用
7.除掉首尾空格
rtrim() 是去除一个字符串右部空格,
ltrim() 是去除一个字符串左部空格。
- intval();
特别注意,用intval处理一个非数字的字符串,仍然可以得出一个数字的结果, 比如intval("abcdefg+123456abcdefg-1111"); 结果为123456。
因为intval的原理是:从左边第一个数字(或正负号)开始,一直读到数字结束。
还有特别要注意的,intval不会解决负数的问题,建议再进行 > 0 的检查
2.字符串:
- daddslashes();
Discuz专用,可能要进库的字符串和数组过滤 常重要的一个过滤,尤其要注意,不要重复过滤。
自X2.5起,用于数据操作的select、update、insert、delete(SUID)等被DB封装的函数,对所传入的参数会进行必要的安全处理。所以没必要重复处理
3.对于不应该有HTML的文本
- strip_tags();
这主要是 XSS 的要求,避免被 XSS ,重点就是避免用户的HTML标签直接输出到浏览器上。
4.对于可能有HTML的文本
- dhtmlspecialchars();
Discuz专用,同strip_tags(),有区别的是,他不会去掉标签,而是变成可阅读的样式。
5.过滤危险HTML,用于第4项之前,起增强防止XSS
- function checkhtml($html) {
- preg_match_all("/\<([^\<]+)\>/is", $html, $ms);
- $searchs[] = '<';
- $replaces[] = '<';
- $searchs[] = '>';
- $replaces[] = '>';
- if($ms[1]) {
- $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
- $ms[1] = array_unique($ms[1]);
- foreach ($ms[1] as $value) {
- $searchs[] = "<".$value.">";
- $value = str_replace('&', '_uch_tmp_str_', $value);
- $value = dhtmlspecialchars($value);
- $value = str_replace('_uch_tmp_str_', '&', $value);
- $value = str_replace(array('\\','/*'), array('.','/.'), $value);
- $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
- 'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
- 'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
- 'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
- 'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
- 'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
- 'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
- 'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
- 'onsubmit','onunload','javascript','script','eval','behaviour','expression','style');
- $skipstr = implode('|', $skipkeys);
- $value = preg_replace(array("/($skipstr)/i"), '.', $value);
- if(!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
- $value = '';
- }
- $replaces[] = empty($value)?'':"<".str_replace('"', '"', $value).">";
- }
- }
- $html = str_replace($searchs, $replaces, $html);
- return $html;
- }
6.过滤关键词
- censor();
Discuz专用
7.除掉首尾空格
- trim() 去除一个字符串两端空格,
rtrim() 是去除一个字符串右部空格,
ltrim() 是去除一个字符串左部空格。
扫描二维码,手机查看
声明:本文来源于互联网,观点仅代表作者本人,不代表欢乐你我,真实性请妥善甄别。