ecshop递归过滤get,post函数的程序代码（ecshop模板）

我们只要查看开源的程序几乎都会有下面两段差不多相关的代码，代码的功能就是过滤提交数据中的一些特殊字符了，通常是有post与get了，下面来看看吧．

/**Iyr快乐收录网

 * 递归方式的对变量中的特殊字符进行转义Iyr快乐收录网

 *Iyr快乐收录网

* @access  publicIyr快乐收录网

 * @param   mix     $valueIyr快乐收录网

 *Iyr快乐收录网

 * @return  mixIyr快乐收录网

 */Iyr快乐收录网

function addslashes_deep($value)Iyr快乐收录网

{Iyr快乐收录网

if (empty($value))Iyr快乐收录网

    {Iyr快乐收录网

        return $value;Iyr快乐收录网

    }Iyr快乐收录网

    elseIyr快乐收录网

    {Iyr快乐收录网

return is_array($value) ? array_map(addslashes_deep, $value) : addslashes($value);Iyr快乐收录网

    }Iyr快乐收录网

}

使用：Iyr快乐收录网

/* 对用户传入的变量进行转义操作。*/Iyr快乐收录网

if (!get_magic_quotes_gpc())Iyr快乐收录网

{Iyr快乐收录网

    if (!empty($_GET))Iyr快乐收录网

    {Iyr快乐收录网

$_GET  = addslashes_deep($_GET);Iyr快乐收录网

    }Iyr快乐收录网

    if (!empty($_POST))Iyr快乐收录网

    {Iyr快乐收录网

        $_POST = addslashes_deep($_POST);Iyr快乐收录网

    }Iyr快乐收录网

$_COOKIE   = addslashes_deep($_COOKIE);Iyr快乐收录网

    $_REQUEST  = addslashes_deep($_REQUEST);Iyr快乐收录网

} 验证码通常是用来安全保证我们网站注册或登录不被注入的，但为了更安全我们通常会生成一些混合验证码了，下面一起来看看例子．

在我们开发登录模块或者是论坛的灌水模块的时候，为了防止恶意提交，需要用到验证码。验证码就是用来区分人和机器的一种手段，当然这种手段不是万无一失，但总归会起到一些作用。Iyr快乐收录网

验证码的实现需要GD库的支持，没有开启GD库的童鞋需开启GD库。Iyr快乐收录网

其实验证码的制作和使用非常的简单，仅仅只是需要4个步骤就可以搞定：创建验证码底图，显示验证码内容，增加干扰元素，输出验证码。下面我们来进行步骤拆分：Iyr快乐收录网

第一步：创建验证码底图Iyr快乐收录网

$image = imagecreatetruecolor(100, 30); // 创建一个宽为 100 高为 30 的底图  该底图的背景色 为黑色  是系统定义的Iyr快乐收录网

$bgcolor = imagecolorallocate($image, 255, 255, 255);   // 为上面创建的底图分配 白色的背景颜色Iyr快乐收录网

imagefill($image, 0, 0, $bgcolor);  // 填充白色背景色

第二步：显示验证码内容 Iyr快乐收录网

// 输出验证码内容Iyr快乐收录网

for ($i=0; $i < 4; $i++) {Iyr快乐收录网

    $fontsize = 6;Iyr快乐收录网

$fontcolor = imagecolorallocate($image, rand(0,120), rand(0,120), rand(0,120));Iyr快乐收录网

    $data = qwertyuipkjhgfdsazxcvbnm23456789;Iyr快乐收录网

$content = substr($data, rand(0, strlen($data)), 1);

    $x = ($i*100/4) + rand(5,9);  Iyr快乐收录网

    $y = rand(5,10);Iyr快乐收录网

imagestring($image, $fontsize, $x, $y, $content, $fontcolor);  //在图像上水平输出一行字符串Iyr快乐收录网

}

第三步：增加干扰元素 Iyr快乐收录网

// 增加干扰点元素Iyr快乐收录网

for ($i=0; $i < 300; $i++) {Iyr快乐收录网

$pointcolor = imagecolorallocate($image, rand(50,200), rand(50,200), rand(50,200));Iyr快乐收录网

    imagesetpixel($image, rand(0,99), rand(0,29), $pointcolor);Iyr快乐收录网

}

// 增加干扰线元素   线 和 点 的颜色一定要控制好  要比验证码数字的颜色浅  避免出现验证码数字看不见的现象Iyr快乐收录网

for ($i=0; $i < 4; $i++) { Iyr快乐收录网

$linecolor = imagecolorallocate($image, rand(100,240), rand(100,240), rand(100,240));Iyr快乐收录网

imageline($image, rand(0,99), rand(0,29), rand(0,99), rand(0,29), $linecolor);Iyr快乐收录网

}

第四步：输出验证码Iyr快乐收录网

// 输出创建的图像   在输出图像之前 必须输出头信息  用来规定输出的图像类型Iyr快乐收录网

header("Content-Type: image/png");Iyr快乐收录网

imagepng($image);

// 销毁图像Iyr快乐收录网

imagedestroy($image);

至此，一个简单的验证码就实现了，关于实现验证码的注意事项已经写在了注释里。Iyr快乐收录网

使用验证码的时候，我们一般都需要用session来保存以便验证，在这里就不作详细介绍。Iyr快乐收录网

AES加密是一个非常高级的加密了，听很多人说要破解AES加密是非常的困难了，下文小编来为各位整理一个使用AES加密算法加密数据的例子。

在研究Discuz 的时候，发现Discuz有一套相当完美的加密算法(相对而言)。这个算法可以将数据加密后，储存起来，到需要用的时候，用之前加密的秘钥将之还原。Iyr快乐收录网

除了这个之外，还有AES这个算法能够将数据很好的加密起来，在传输过程中不容易被破解。Iyr快乐收录网

在PHP中，我们必须先安装好mcrypt这个模块，并且添加相应版本的扩展到php中，详情可以看 不重新编译PHP安装Mcrypt扩展Iyr快乐收录网

AES加密模式和填充方式有以下之中，但不是全部Iyr快乐收录网

算法/模式/填充                16字节加密后数据长度        不满16字节加密后长度Iyr快乐收录网

AES/CBC/NoPadding             16                          不支持Iyr快乐收录网

AES/CBC/PKCS5Padding          32                          16Iyr快乐收录网

AES/CBC/ISO10126Padding       32                          16Iyr快乐收录网

AES/CFB/NoPadding             16                          原始数据长度Iyr快乐收录网

AES/CFB/PKCS5Padding          32                          16Iyr快乐收录网

AES/CFB/ISO10126Padding       32                          16Iyr快乐收录网

AES/ECB/NoPadding             16                          不支持Iyr快乐收录网

AES/ECB/PKCS5Padding          32                          16Iyr快乐收录网

AES/ECB/ISO10126Padding       32                          16Iyr快乐收录网

AES/OFB/NoPadding             16                          原始数据长度Iyr快乐收录网

AES/OFB/PKCS5Padding          32                          16Iyr快乐收录网

AES/OFB/ISO10126Padding       32                          16Iyr快乐收录网

AES/PCBC/NoPadding            16                          不支持Iyr快乐收录网

AES/PCBC/PKCS5Padding         32                          16Iyr快乐收录网

AES/PCBC/ISO10126Padding      32                          16

下面就是在PHP中使用AES对数据加密Iyr快乐收录网

AES-CBC 加密方案Iyr快乐收录网

代码如下 复制代码

$privateKey = "1234567812345678";Iyr快乐收录网

$iv = "1234567812345678";Iyr快乐收录网

$data = "Test String";

//加密Iyr快乐收录网

$encrypted = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $privateKey, $data, MCRYPT_MODE_CBC, $iv);Iyr快乐收录网

echo(base64_encode($encrypted));Iyr快乐收录网

echo <br/>;

//解密Iyr快乐收录网

$encryptedData = base64_decode("2fbwW9+8vPId2/foafZq6Q==");Iyr快乐收录网

$decrypted = mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $privateKey, $encryptedData, MCRYPT_MODE_CBC, $iv);Iyr快乐收录网

echo($decrypted);Iyr快乐收录网

?>

AES-ECB加密方案Iyr快乐收录网

 代码如下 复制代码

//加密    Iyr快乐收录网

$key = 1234567890123456;    Iyr快乐收录网

$content = hello;    Iyr快乐收录网

$padkey = pad2Length($key,16);Iyr快乐收录网

$cipher = mcrypt_module_open(MCRYPT_RIJNDAEL_128, , MCRYPT_MODE_ECB, );    Iyr快乐收录网

$iv_size = mcrypt_enc_get_iv_size($cipher);Iyr快乐收录网

$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND); #IV自动生成？    Iyr快乐收录网

echo 自动生成iv的长度:.strlen($iv).位:.bin2hex($iv).;Iyr快乐收录网

if (mcrypt_generic_init($cipher, pad2Length($key,16), $iv) != -1)    Iyr快乐收录网

{    Iyr快乐收录网

// PHP pads with NULL bytes if $content is not a multiple of the block size..Iyr快乐收录网

$cipherText = mcrypt_generic($cipher,pad2Length($content,16) );Iyr快乐收录网

   mcrypt_generic_deinit($cipher);    Iyr快乐收录网

   mcrypt_module_close($cipher);    Iyr快乐收录网

// Display the result in hex.Iyr快乐收录网

   printf("128-bit encrypted result:n%snn",bin2hex($cipherText));    Iyr快乐收录网

   print("");    Iyr快乐收录网

}    Iyr快乐收录网

//解密Iyr快乐收录网

$mw = bin2hex($cipherText);    Iyr快乐收录网

$td = mcrypt_module_open(MCRYPT_RIJNDAEL_128, , MCRYPT_MODE_ECB, );    Iyr快乐收录网

if (mcrypt_generic_init($td, $padkey, $iv) != -1)Iyr快乐收录网

{    Iyr快乐收录网

   $p_t = mdecrypt_generic($td, hexToStr($mw));    Iyr快乐收录网

mcrypt_generic_deinit($td);Iyr快乐收录网

   mcrypt_module_close($td);    Iyr快乐收录网

   $p_t = trimEnd($p_t);    Iyr快乐收录网

   echo 解密:;    Iyr快乐收录网

   print($p_t);    Iyr快乐收录网

   print("");    Iyr快乐收录网

print(bin2hex($p_t));Iyr快乐收录网

   echo ;    Iyr快乐收录网

}    Iyr快乐收录网

//将$text补足$padlen倍数的长度    Iyr快乐收录网

function pad2Length($text, $padlen){    Iyr快乐收录网

$len = strlen($text)%$padlen;Iyr快乐收录网

   $res = $text;    Iyr快乐收录网

   $span = $padlen-$len;    Iyr快乐收录网

   for($i=0; $i<$span; $i++){    Iyr快乐收录网

       $res .= chr($span);    Iyr快乐收录网

   }    Iyr快乐收录网

return $res;Iyr快乐收录网

}    Iyr快乐收录网

//将解密后多余的长度去掉(因为在加密的时候 补充长度满足block_size的长度)    Iyr快乐收录网

function trimEnd($text){    Iyr快乐收录网

   $len = strlen($text);    Iyr快乐收录网

$c = $text[$len-1];Iyr快乐收录网

   if(ord($c) <$len){    Iyr快乐收录网

       for($i=$len-ord($c); $i<$len; $i++){    Iyr快乐收录网

           if($text[$i] != $c){    Iyr快乐收录网

               return $text;    Iyr快乐收录网

           }    Iyr快乐收录网

       }    Iyr快乐收录网

return substr($text, 0, $len-ord($c));Iyr快乐收录网

   }    Iyr快乐收录网

   return $text;    Iyr快乐收录网

}    Iyr快乐收录网

//16进制的转为2进制字符串    Iyr快乐收录网

function hexToStr($hex)    Iyr快乐收录网

{    Iyr快乐收录网

   $bin="";    Iyr快乐收录网

for($i=0; $iIyr快乐收录网

   {    Iyr快乐收录网

       $bin.=chr(hexdec($hex[$i].$hex[$i+1]));    Iyr快乐收录网

   }    Iyr快乐收录网

   return $bin;    Iyr快乐收录网

}   

AES-ECB加密方案Iyr快乐收录网

 代码如下 复制代码

$key = 1234567890123456;Iyr快乐收录网

$key = pad2Length($key,16);    Iyr快乐收录网

$iv = asdff;    Iyr快乐收录网

$content = hello;    Iyr快乐收录网

$content = pad2Length($content,16);Iyr快乐收录网

$AESed =  bin2hex( mcrypt_encrypt(MCRYPT_RIJNDAEL_128,$key,$content,MCRYPT_MODE_ECB,$iv) ); #加密Iyr快乐收录网

echo "128-bit encrypted result:".$AESed.;    Iyr快乐收录网

$jiemi = mcrypt_decrypt(MCRYPT_RIJNDAEL_128,$key,hexToStr($AESed),MCRYPT_MODE_ECB,$iv); #解密Iyr快乐收录网

echo 解密:;    Iyr快乐收录网

echo trimEnd($jiemi);      Iyr快乐收录网

?> 

以上只是我列出的简单的3种加密方法，事实上还有很多中方法，需要我们不断的学习。密码学的道路还任重而道远Iyr快乐收录网

EVAl函数是一个非常强大的可以直接执行用户提交的php代码了，同时此函数也给黑客常利用到了，所以很多站长都想去禁止此函数，但小编搜索后发现很多朋友对于PHP禁用EVAL函数有错误的理解了，下面小编为各位纠证一下。

val()针对php安全来说具有很大的杀伤力 一般不用的情况下 为了防止<?php eval($_POST[cmd]);?> 这样的小马砸门 需要禁止掉的Iyr快乐收录网

网上好多说使用disable_functions禁止掉eval 是错误的Iyr快乐收录网

其实eval() 是无法用php.ini中的disable_functions禁止掉的  because eval() is a language construct and not a functionIyr快乐收录网

eval是zend的 不是PHP_FUNCTION 函数；Iyr快乐收录网

php怎么禁止eval:Iyr快乐收录网

如果想禁掉eval 可以用 php的扩展 SuhosinIyr快乐收录网

安装Suhosin后在Iyr快乐收录网

php.ini 中load进来Suhosin.so 加上suhosin.executor.disable_eval = on即可Iyr快乐收录网

linux中suhosin安装方法Iyr快乐收录网

代码如下 复制代码

# cd /usr/local/srcIyr快乐收录网

# wget http://cn.php.net/get/php-5.2.5.tar.gz/from/this/mirrorIyr快乐收录网

wget http://www.hardened-php.net/suhosin/_media/suhosin-patch-5.2.5-0.9.6.2.patch.gz //从官方下载补丁Iyr快乐收录网

# tar zxvf php-5.2.5.tar.gzIyr快乐收录网

# gunzip suhosin-patch-5.2.5-0.9.6.2.patch.gz // 解压补丁Iyr快乐收录网

# cd php-5.2.5Iyr快乐收录网

# patch -p 1 -i ../suhosin-patch-5.2.5-0.9.6.2.patch // 给php打上补丁Iyr快乐收录网

# ./buildconf --force //一定要执行这一步。Iyr快乐收录网

# CHOST="i686-pc-linux-gnu" CFLAGS="-O3 -msse2 -mmmx -mfpmath=sse -mcpu=pentium4 -march=pentium4 -pipe -fomit-frame-pointer" CXXFLAGS="-O3 -msse2 -mmmx -mfpmath=sse -funroll-loops -mcpu=pentium4 -march=pentium4 -pipe -fomit-frame-pointer" ./configure --prefix=/usr/local/php --with-apxs2=/usr/local/apache2/bin/apxs --with-zlib-dir --with-bz2 --with-tiff-dir --with-libxml-dir=/usr/local/libxml2 --with-gd=/usr/local/gd2 --with-freetype-dir --with-jpeg-dir --with-png-dir --with-ttf --enable-mbstring --with-mysql=/usr/local/mysql --with-mysqli=/usr/local/mysql/bin/mysql_config --with-config-file-path=/etc --with-iconv --disable-ipv6 --enable-static --enable-maintainer-zts --enable-memory-limit --enable-zend-multibyte --enable-sockets --enable-soap --enable-suhosin // 配置选项Iyr快乐收录网

# makeIyr快乐收录网

# make installIyr快乐收录网

重启apachectl,查看phpinfo信息，会出现Iyr快乐收录网

This server is protected with the Suhosin Patch 0.9.6.2Iyr快乐收录网

Copyright (c) 2006 Hardened-PHP ProjectIyr快乐收录网

等许多Suhosin信息那么你就成功了。呵呵。Iyr快乐收录网

在这里也顺便说一下将suhosin安装成为php的动态扩展的方法。Iyr快乐收录网

wget http://download.suhosin.org/suhosin-0.9.23.tgzIyr快乐收录网

tar zxvfsuhosin-0.9.23.tgzIyr快乐收录网

cd suhosin-0.9.23Iyr快乐收录网

/usr/local/php/bin/phpize //这一步不能省Iyr快乐收录网

./configure --with-php-config=/usr/local/php/bin/php-config //必须在这儿注明php-config所在的绝对路径。Iyr快乐收录网

makeIyr快乐收录网

make installIyr快乐收录网

会提示编译的模块存在的目录，记住它。Iyr快乐收录网

Installing shared extensions: /usr/local/php/lib/php/extensions/no-debug-non-zts-20060613/Iyr快乐收录网

然后在php.ini中增加一行下列语句。Iyr快乐收录网

extension=suhosin.soIyr快乐收录网

suhosin.executor.disable_eval = on

如果对于部分业务需要运行eval咋办?如果是 PHP 5.3+ 且 CGI/FastCGI 方式运行，可以这么改 php.ini，则可以破例使用  evalIyr快乐收录网

操作方法：Iyr快乐收录网

 代码如下 复制代码

suhosin.executor.disable_eval = onIyr快乐收录网

[PATH=/htdocs/www/ex1/]Iyr快乐收录网

suhosin.executor.disable_eval = off

最后重启php-fpm 即可！Iyr快乐收录网

SQL注入是可以通过一些sql语法上的处理不当导致数据库或网站权限给你拿到了，今天小编整理了一些常用的php mysql中的SQL注入防范方法吧。

使用php5.3或以上的版本我们可以直接使用PDO与mysqli处理数据Iyr快乐收录网

1.使用PDO(PHP Data Objects )Iyr快乐收录网

代码如下 复制代码 $stmt = $pdo->prepare(SELECT * FROM employees WHERE name = :name);Iyr快乐收录网

$stmt->execute(array(:name => $name));Iyr快乐收录网

foreach ($stmt as $row) {Iyr快乐收录网

// do something with $rowIyr快乐收录网

}

2.使用mysqliIyr快乐收录网

 代码如下 复制代码

$stmt = $dbConnection->prepare(SELECT * FROM employees WHERE name = ?);Iyr快乐收录网

$stmt->bind_param(s, $name);Iyr快乐收录网

$stmt->execute();Iyr快乐收录网

$result = $stmt->get_result();Iyr快乐收录网

while ($row = $result->fetch_assoc()) {Iyr快乐收录网

    // do something with $rowIyr快乐收录网

}

3.如果是php5.3以下版本我们可以使用ADDSLASHES和MYSQL_REAL_ESCAPE_STRING这些函数来处理Iyr快乐收录网

 代码如下 复制代码

function get_str($string)Iyr快乐收录网

{Iyr快乐收录网

    if (!get_magic_quotes_gpc())Iyr快乐收录网

    {Iyr快乐收录网

return addslashes($string);Iyr快乐收录网

    }Iyr快乐收录网

    return $string;Iyr快乐收录网

}

国内很多PHP coder仍在依靠addslashes防止SQL注入（包括我在内），我还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会被看作是单引号，所以addslashes无法成功拦截。Iyr快乐收录网

当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。

最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[‘lastname’]进行检查一下。Iyr快乐收录网

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：Iyr快乐收录网

mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：

mysql_real_escape_string 考虑到连接的当前字符集，而mysql_escape_string 不考虑。Iyr快乐收录网

如果是字符型就用addslashes()过滤一下，然后再过滤”%”和”_”如：Iyr快乐收录网

代码如下 复制代码 $search=addslashes($search);Iyr快乐收录网

$search=str_replace(“_”,”＼_”,$search);Iyr快乐收录网

$search=str_replace(“%”,”＼%”,$search);Iyr快乐收录网

当然也可以加php通用防注入代码：Iyr快乐收录网

 代码如下 复制代码 /*************************Iyr快乐收录网

PHP通用防注入安全代码Iyr快乐收录网

说明：Iyr快乐收录网

判断传递的变量中是否含有非法字符Iyr快乐收录网

如$_POST、$_GETIyr快乐收录网

功能：Iyr快乐收录网

防注入Iyr快乐收录网

**************************/Iyr快乐收录网

//要过滤的非法字符Iyr快乐收录网

$ArrFiltrate=array(”‘”,”;”,”union”);Iyr快乐收录网

//出错后要跳转的url,不填则默认前一页Iyr快乐收录网

$StrGoUrl=”";Iyr快乐收录网

//是否存在数组中的值Iyr快乐收录网

function FunStringExist($StrFiltrate,$ArrFiltrate){Iyr快乐收录网

foreach ($ArrFiltrate as $key=>$value){Iyr快乐收录网

if (eregi($value,$StrFiltrate)){Iyr快乐收录网

return true;Iyr快乐收录网

}Iyr快乐收录网

}Iyr快乐收录网

return false;Iyr快乐收录网

}Iyr快乐收录网

//合并$_POST 和 $_GETIyr快乐收录网

if(function_exists(array_merge)){Iyr快乐收录网

$ArrPostAndGet=array_merge($HTTP_POST_VARS,$HTTP_GET_VARS);Iyr快乐收录网

}else{Iyr快乐收录网

foreach($HTTP_POST_VARS as $key=>$value){Iyr快乐收录网

$ArrPostAndGet[]=$value;Iyr快乐收录网

}Iyr快乐收录网

foreach($HTTP_GET_VARS as $key=>$value){Iyr快乐收录网

$ArrPostAndGet[]=$value;Iyr快乐收录网

}Iyr快乐收录网

}Iyr快乐收录网

//验证开始Iyr快乐收录网

foreach($ArrPostAndGet as $key=>$value){Iyr快乐收录网

if (FunStringExist($value,$ArrFiltrate)){Iyr快乐收录网

echo “alert(/”Neeao提示，非法字符/”);”;Iyr快乐收录网

if (empty($StrGoUrl)){Iyr快乐收录网

echo “history.go(-1);”;Iyr快乐收录网

}else{Iyr快乐收录网

echo “window.location=/”".$StrGoUrl.”/”;”;Iyr快乐收录网

}Iyr快乐收录网

exit;Iyr快乐收录网

}Iyr快乐收录网

}Iyr快乐收录网

?>Iyr快乐收录网

/*************************Iyr快乐收录网

保存为checkpostandget.phpIyr快乐收录网

然后在每个php文件前加include(“checkpostandget.php“);即可

总结一下：Iyr快乐收录网

addslashes() 是强行加；Iyr快乐收录网

mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；Iyr快乐收录网

mysql_escape_string不考虑连接的当前字符集。