Discuz X收藏本版 +发表新主题

Discuz常用过滤函数

1.整数过滤:
  1. intval();


特别注意,用intval处理一个非数字的字符串,仍然可以得出一个数字的结果, 比如intval("abcdefg+123456abcdefg-1111"); 结果为123456。      
因为intval的原理是:从左边第一个数字(或正负号)开始,一直读到数字结束。
还有特别要注意的,intval不会解决负数的问题,建议再进行 > 0 的检查

2.字符串:
  1. daddslashes();

Discuz专用,可能要进库的字符串和数组过滤 常重要的一个过滤,尤其要注意,不要重复过滤。
自X2.5起,用于数据操作的select、update、insert、delete(SUID)等被DB封装的函数,对所传入的参数会进行必要的安全处理。所以没必要重复处理


3.对于不应该有HTML的文本
  1. strip_tags();


这主要是 XSS 的要求,避免被 XSS ,重点就是避免用户的HTML标签直接输出到浏览器上。


4.对于可能有HTML的文本
  1. dhtmlspecialchars();


Discuz专用,同strip_tags(),有区别的是,他不会去掉标签,而是变成可阅读的样式。

5.过滤危险HTML,用于第4项之前,起增强防止XSS
  1. function checkhtml($html) {


  2.                 preg_match_all("/\<([^\<]+)\>/is", $html, $ms);

  3.                 $searchs[] = '<';
  4.                 $replaces[] = '<';
  5.                 $searchs[] = '>';
  6.                 $replaces[] = '>';

  7.                 if($ms[1]) {
  8.                         $allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote';
  9.                         $ms[1] = array_unique($ms[1]);
  10.                         foreach ($ms[1] as $value) {
  11.                                 $searchs[] = "<".$value.">";

  12.                                 $value = str_replace('&', '_uch_tmp_str_', $value);
  13.                                 $value = dhtmlspecialchars($value);
  14.                                 $value = str_replace('_uch_tmp_str_', '&', $value);

  15.                                 $value = str_replace(array('\\','/*'), array('.','/.'), $value);
  16.                                 $skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate',
  17.                                                 'onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange',
  18.                                                 'onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick',
  19.                                                 'ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate',
  20.                                                 'onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete',
  21.                                                 'onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel',
  22.                                                 'onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart',
  23.                                                 'onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop',
  24.                                                 'onsubmit','onunload','javascript','script','eval','behaviour','expression','style');
  25.                                 $skipstr = implode('|', $skipkeys);
  26.                                 $value = preg_replace(array("/($skipstr)/i"), '.', $value);
  27.                                 if(!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is", $value)) {
  28.                                         $value = '';
  29.                                 }
  30.                                 $replaces[] = empty($value)?'':"<".str_replace('"', '"', $value).">";
  31.                         }
  32.                 }
  33.                 $html = str_replace($searchs, $replaces, $html);


  34.         return $html;
  35. }



6.过滤关键词
  1. censor();


Discuz专用

7.除掉首尾空格
  1. trim() 去除一个字符串两端空格,

rtrim() 是去除一个字符串右部空格,
ltrim() 是去除一个字符串左部空格。

扫描二维码,手机查看
声明:本文来源于互联网,观点仅代表作者本人,不代表欢乐你我,真实性请妥善甄别。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则