php中prefix|php中preg_match过滤URL非法参数程序

更新时间:2019-08-16    来源:php安全    手机版     字体:

【www.bbyears.com--php安全】

PHP开发中经常用到URL传递参数,对传递的参数要进行安全过滤,过滤URL中非法参数,这是php安全的一个细小的地方,却事关安全的大事。URL参数一般都是数字或者字母加上”-“或者”_”组成,参数带有其他的符号的都要进行过滤,以免带来安全问题。对URL传参进行非法字符过滤,用preg_match很容易判断非法的参数。

 代码如下

if(!preg_match("/^[a-z0-9_\-]+$/i",$this->commentid))
    $this->_show_msg(L("illegal_parameters"));


这里$this->commentid就是从URL中$_GET方式传递过来的参数,接收URL$_GET方式传递的参数的时候也要进行处理,如:

 代码如下

$this->commentid = isset($_GET["commentid"]) && trim(urldecode($_GET["commentid"])) ? trim(urldecode($_GET["commentid"])) : $this->_show_msg(L("illegal_parameters"));

PHP开发安全问题不容忽视,这些很细小的问题很简单就可以处理,但是容易倏忽。很多的漏洞都是从这里找到的。

本文来源:http://www.bbyears.com/jiaocheng/62483.html

热门标签

更多>>

本类排行