php中html字符串过滤函数详解
自定义的一个函数
]*?>.*?'si",
"''si",
"']*?>'si",
"'([rn])[s]+'",
"'&(quot|#34);'i",
"'&(amp|#38);'i",
"'&(lt|#60);'i",
"'&(gt|#62);'i",
"'&(nbsp|#160);'i",
"'&(iexcl|#161);'i",
"'&(cent|#162);'i",
"'&(pound|#163);'i",
"'&(copy|#169);'i",
"'(d+);'e"
);
$replace = array(
'',
'',
"1",
'',
"&",
"",
' ',
chr(161) ,
chr(162) ,
chr(163) ,
chr(169) ,
"chr(1)"
);
return preg_replace($pattern, $replace, $str);
}
?>
除了上面自定的函数之外还有一个php自带的过滤html的函数:strip_tags(string) 这样就可以过滤掉所有的html标签了。
如果想过滤掉除了
之外的所有html标签,则可以这样写:
代码如下复制代码
strip_tags(string,"");
过滤除了xxx
之外的所有html标签,则可以这样写:
代码如下复制代码
strip_tags(string,"");
网上找到一个防sql注入函数
", "", $str);
$str = str_replace("", "", $str);
$str = str_replace("", "", $str);
$str = str_replace("select", "select", $str);
$str = str_replace("join", "join", $str);
$str = str_replace("union", "union", $str);
$str = str_replace("where", "where", $str);
$str = str_replace("insert", "insert", $str);
$str = str_replace("delete", "delete", $str);
$str = str_replace("update", "update", $str);
$str = str_replace("like", "like", $str);
$str = str_replace("drop", "drop", $str);
$str = str_replace("create", "create", $str);
$str = str_replace("modify", "modify", $str);
$str = str_replace("rename", "rename", $str);
$str = str_replace("alter", "alter", $str);
$str = str_replace("cas", "cast", $str);
$str = str_replace("&", "&", $str);
$str = str_replace(">", ">", $str);
$str = str_replace("", chr(13) , $str);
$str = str_replace("''", "'", $str);
$str = str_replace("css", "'", $str);
$str = str_replace("CSS", "'", $str);
return $str;
}
?>
使用方法
引用是直接这样:
$xxx = htmlspecialchars($_POST['xxx']);
或者
$xxx = htmlspecialchars($_GET['xxx']);
文章地址:
转载随意^^请带上本文地址!