十
02
不管是PHP也好还是ASP也好,都是通过POST或者GET来提交数据的。
PHP 用$_GET 和 $_POST 分别来接受表单GET和POST来的数据。如下:
$a=$_GET['a']; $b=$_POST['b'];
这样就可以接受表单传过来的数据库了,但是实际这样存在安全上的问题或者其他需求,所以我们要对GET或者POST过来的数据进行过滤。如下:
is_numeric($a); //判断$a是否是数字,如果是返回TRUE不是返回FALSE,常用在栏目 文章 ID的过滤判断
$a=strip_tags($a); // 去除$a里的HTML标签,常用于纯文本的提交
$a= htmlentities ( $a, ENT_COMPAT, 'UTF-8' ); // 转义 $a 里的HTML标签,常用于源代码的输出
$a=addslashes($a); // 转义$a里的单引号
除了上面说到的常用函数,你还可以判断变量的长度(一般XSS的攻击变量都很长),是否是数组,判断变量里是否包含某些字符串(一般是过滤一些SQL语句)