XOOPS輕鬆架 - 線上書籍

:::

PHP7 入門研習
=========

### 零、體會一下被駭的感覺...

1. 請在帳號輸入框分別輸入底下內容試試（XSS攻擊）： 
    - <img src="http://cdn.pingwest.com/wp-content/uploads/2015/07/hacker-big.jpg">
    - <script>alert('XSS')</script>
 
### 一、外來變數

1. 用post方法傳過來的，我們用 $\_POST\['變數名稱'\] 接收。
2. 用get方法傳過來的，我們用 $\_GET\['變數名稱'\] 接收。
3. 用 $\_REQUEST\['變數名稱'\] 同時可接收來自 post、get 和 cookie 的變數 。
 
### 二、過濾外來變數

1. 外來變數通常來自使用者輸入或者比較容易竄改，所以，一定要進行過濾。
2. 若用內建的 [htmlspecialchars($string)](http://php.net/manual/en/function.htmlspecialchars.php) 來過濾的話，預設只轉化雙引號，不對單引號做轉義，所以，這樣用`htmlspecialchars($string,ENT_QUOTES)` 更好。
3. 另一個和 `htmlspecialchars `很像的 [htmlentities](http://php.net/htmlentities) 函數並不適用中文，因為會連同中文字一起轉義。
4. 用 `htmlentities `和 `htmlspecialchars `只能防止XSS攻擊，不能防止SQL隱碼攻擊。 
    ```php
    $title = htmlspecialchars($_POST['title'], ENT_QUOTES);
    ```
5. 改用PHP的 [filter\_var](http://php.net/filter_var) 過濾器亦有同樣效果： 
    ```php
    $title = filter_var($_POST['title'], FILTER_SANITIZE_SPECIAL_CHARS);
    ```
 
### 三、 PHP的 filter\_var 過濾器

1. 可利用PHP內建的 [filter\_var() ](http://php.net/manual/en/function.filter-var.php)函數來過濾變數。
2. 幾種常用過濾方法，[完整過濾器可由此查看](http://php.net/manual/en/filter.filters.php)： <table class="table table-bordered table-hover table-condensed"> <tbody> <tr> <th>名稱</th> <th>功用</th> </tr> <tr> <td>FILTER\_CALLBACK</td> <td>option可以讓開發者用自訂的function處理</td> </tr> <tr> <td>FILTER\_SANITIZE\_STRING</td> <td>去除標籤或特殊字元(html標籤會直接被消除)</td> </tr> <tr> <td>FILTER\_SANITIZE\_ENCODED</td> <td>與urlencode()相同，過濾特殊字串</td> </tr> <tr> <td>FILTER\_SANITIZE\_MAGIC\_QUOTES</td> <td>過濾針對SQL injection做過濾(例如單、雙引號)</td> </tr> <tr> <td>FILTER\_SANITIZE\_SPECIAL\_CHARS</td> <td>針對HTML做encoding，例如<會轉成&lt;</td> </tr> <tr> <td>FILTER\_SANITIZE\_EMAIL</td> <td>過濾e-mail，刪除e-mail格式不該出現的字元(除了$-\_.+!\*'{}|^~\[\]`#%/?@&=和數字)，例如a(b)@gmail.com會被過濾成ab@gmail.com</td> </tr> <tr> <td>FILTER\_SANITIZE\_URL</td> <td>過濾URL，刪除URL格式不該出現的字元</td> </tr> <tr> <td>FILTER\_SANITIZE\_NUMBER\_INT</td> <td>刪除所有字元，只留下數字與+-符號</td> </tr> <tr> <td>FILTER\_SANITIZE\_NUMBER\_FLOAT</td> <td>刪除所有字元，只留下數字和+-.,eE</td> </tr> <tr> <td>FILTER\_VALIDATE\_INT</td> <td>判斷數字是否有在範圍內</td> </tr> <tr> <td>FILTER\_VALIDATE\_BOOLEAN</td> <td>判斷布林值，1、true、on、yes都會判斷成true，反之為false，若是這些以外的值會回傳NULL</td> </tr> <tr> <td>FILTER\_VALIDATE\_FLOAT</td> <td>判斷是否為浮點數</td> </tr> <tr> <td>FILTER\_VALIDATE\_REGEXP</td> <td>利用regexp做驗證</td> </tr> <tr> <td>FILTER\_VALIDATE\_URL</td> <td>URL驗證</td> </tr> <tr> <td>FILTER\_VALIDATE\_EMAIL</td> <td>e-mail驗證</td> </tr> <tr> <td>FILTER\_VALIDATE\_IP</td> <td>IP驗證</td> </tr> </tbody> </table>
 
### 四、過濾數字

1. 一般過濾數字用 `(int) $xxx` 或 `intval($xxx)`即可，會強制把輸入的內容變成數字。
2. 亦可用 `filter_var($num, FILTER_SANITIZE_NUMBER_INT)` 來過濾，但和 intval 不太一樣，例如： 
    ```php
    $num = "123其他文字456";
    echo filter_var($num, FILTER_SANITIZE_NUMBER_INT) . "<br>";
    echo (int) $num . "<br>";
    echo intval($num) . "<br>";
    
    ```
3. 用用 `(int) $xxx` 或 `intval($xxx)`會得到 123，但用`filter_var()` 會得到 123456

:::

書籍目錄

展開 | 闔起

快速登入

進階搜尋

http%3A%2F%2Fcampus-xoops.tn.edu.tw%2Fmodules%2Ftad_book3%2Fmarkdown.php%3Ftbdsn%3D708

計數器

今天：
昨天：
總計：

MarkDown

書籍目錄

快速登入

計數器