function filter($data) {
$data = trim(htmlentities(strip_tags($data)));
if (get_magic_quotes_gpc()) {
$data = stripslashes($data);
}
$data = MysqL_real_escape_string($data);
return $data;
}
foreach($_POST as $key => $value) {
$data[$key] = filter($value);
}
例如:
<input type="checkBox" name="phone_prefs[]" value="prefer_home">
<input type="checkBox" name="phone_prefs[]" value="prefer_cell">
<input type="checkBox" name="phone_prefs[]" value="prefer_work">
etc.
由于这段代码,我现在在_POST变量中有数组,而不仅仅是字符串.
我是否正确认为我的filter()函数实际上不会正确清理数组?我需要对filter()函数进行哪些更改,以确保完全清理复选框的数组,而不是sql注入攻击的简单目标?
解决方法:
你的功能非常好,但如果你使它递归,它会为你抓取嵌套数组
function filter(&$array) {
$clean = array();
foreach($array as $key => &$value ) {
if( is_array($value) ) {
filter($value);
} else {
$value = trim(strip_tags($value));
if (get_magic_quotes_gpc()) {
$data = stripslashes($value);
}
$data = MysqL_real_escape_string($value);
}
}
}
filter($_POST); # filters $_POST and any nested arrays by reference
编辑:遗漏htmlentities().如果您需要它,那么在输出值时使用它 – 而不是在将它们作为输入时使用它.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。