我无法让这个工作,PHP清理过滤器

时间:2012-04-26 14:37:15

标签: php validation sanitize

有人能告诉我我做错了什么吗?我正在尝试使用php过滤器清理和验证表单用户输入。这个输入将转到mySql数据库,然后是html页面输出,所以我需要删除所有html标签,并为mySQL提供安全性。

感谢。

      /*
 * BEGIN Sanitize and validate
 */

  // Adding fields to sanitize array.
$filters = array(
   'author'  => FILTER_SANITIZE_SPECIAL_CHARS,
   'title'  => FILTER_SANITIZE_SPECIAL_CHARS,
   'description'  => FILTER_SANITIZE_SPECIAL_CHARS,
);


/*** apply the filters to the POST array ***/
$filtered = filter_input_array(INPUT_POST, $filters);


 // filtering out anything that isn't an email address
    $sanitized_email = filter_var(($_POST["email"]), FILTER_SANITIZE_EMAIL);
    if ( filter_var($sanitized_email, FILTER_VALIDATE_EMAIL)  == TRUE) {
        echo '';
    } else {
        echo 'Invalid Email Address.  Go Back.';
        exit;
    }

    /*
 * BEGIN sanitize and validate
 */

新代码但仍然无效。我做错了什么。仍然在数据库中获取HTML并且错误无效。

      /*
 * BEGIN Sanitize and validate
 */

  // Adding fields to sanitize array.
$filters = array(
   'author'  => FILTER_SANITIZE_STRING,
   'title'  => FILTER_SANITIZE_STRING,
   'description'  => FILTER_SANITIZE_STRING,
);


/*** apply the filters to the POST array ***/
$filtered = filter_input_array(INPUT_POST, $filters);
$filters = array_map('mysql_real_escape_string',$filters);
$filters = array_map('htmlspecialchars',$filters);
    if ( filter_var_array($filtered, FILTER_SANITIZE_STRING)) {
        echo '';
    } else {
        echo 'Invalid Input.  Go Back.';
        exit;
    }



// filtering out anything that isn't an email address
    $sanitized_email = filter_var(($_POST['email']), FILTER_SANITIZE_EMAIL);
    if ( filter_var($sanitized_email, FILTER_VALIDATE_EMAIL)) {
        echo '';
    } else {
        echo 'Invalid Email Address.  Go Back.';
        exit;
    }

    /*
 * BEGIN sanitize and validate
 */

第二编辑如下:

通过将清理代码添加到将数据传递到数据库的脚本区域,将清理后的数据显示在数据库中。

 $_POST['author'] = mysql_real_escape_string(trim($_POST['author']));
      $author=filter_var($_POST['author'], FILTER_SANITIZE_STRING);

      $_POST['email'] = mysql_real_escape_string(trim($_POST['email']));
      $email=filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);

现在我必须完成验证电子邮件。

1 个答案:

答案 0 :(得分:0)

第一件事:过滤器模块不提供您的查询安全性;该扩展与数据库交互无关,它只清理或验证用户输入(之后你可以使用它做很多事情而不使用数据库)

更新:例如,在使用过滤器模块之后,将会破坏sql查询的引号或撇号仍然存在,并且由于字符串正常,如果您决定将其转义是您的工作将其保存在数据库中(或者在PDO中绑定参数的系统中不会出现问题)

因此,为了保护您的查询,您应该使用PDO,或者如果您遇到其他系统,您可以使用适当的内容(例如使用mysql_real_escape_string转义mysql_ *函数的输入)< / p>

考虑到你没有说出你遇到的问题我可以补充一点,如果你想“清理”用户输入并删除html,你也应该使用 FILTER_SANITIZE_STRING 标志代替 FILTER_SANITIZE_SPECIAL_CHARS

对我来说这个脚本http://codepad.org/Wrgl0qEg工作正常,并从输入中删除了html标签

相关问题
最新问题