Php中过滤表单提交的html标签

我们做的简单评论功能会发现有提交很多的html标签了这些标签会导致页面有一些外连了，下面我们一起来看在Php中过滤表单提交的html标签方法。

近评论中有一些机器人提交的post链接，都是一些垃圾评论。为了减少这种无谓的链接内容出现，其实是可以用php来删除表单POST提交的html标签，这样机器提交的信息也不会得到他们要的结果。而且可以减少来自seo/seo.html" target="_blank">搜索引擎的惩罚。

去掉<br/>标签

某些情况我们需要去掉<br/>标签，可以使用str_replace函数。

//取出br标记

代码如下	复制代码
$str=str_replace("<br>","",$str);

移除html标签

可以使用strip_tags函数搞定。

代码如下	复制代码
$str= strip_tags($str);

封装成一个函数

代码如下	复制代码
<?php     function removehtml($str){         $str=str_replace("<br>","",$str);         return strip_tags($str);     } ?>

安全函数在php中起到了很大的作用可以简单的帮助我们过滤一些非常的sql注入了，下文小编为各位整理一下。

安全是编程非常重要的一个方面。在任何一种编程语言中，都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中，经常要获取来自世界各地用户的输入，但是，我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中，都会提供保证用户输入数据安全的函数。今天，我们就来看看，在著名的开源语言PHP中有哪些有用的安全函数。

在PHP中，有些很有用的函数开源非常方便的防止你的网站遭受各种攻击，例如SQL注入攻击，XSS（Cross Site Scripting：跨站脚本）攻击等。一起看看PHP中常用的、可以确保项目安全的函数。注意，这并不是完整的列表，是我觉得对于你的i项目很有的一些函数。

1. mysql_real_escape_string()

这个函数在PHP中防止SQL注入攻击时非常有用。这个函数会对一些例如单引号、双引号、反斜杠等特殊字符添加一个反斜杠以确保在查询这些数据之前，用户提供的输入是干净的。但要注意，你是在连接数据库的前提下使用这个函数。

但是现在已经不推荐使用mysql_real_escape_string()了，所有新的应用应该使用像PDO一样的函数库执行数据库操作，也就是说，我们可以使用现成的语句防止SQL注入攻击。

2. addslashes()

这个函数的原理跟mysql_real_escape_string()相似。但是当在php.ini文件中，“magic_quotes_gpc“的值是“on”的时候，就不要使用这个函数。magic_quotes_gpc 的默认值是on，对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes()，因为这样会导致双层转义。你可以使用get_magic_quotes_gpc()函数来确定它是否开启。

3. htmlentities()

这个函数对于过滤用户输入的数据非常有用。它会将一些特殊字符转换为HTML实体。例如，用户输入<时，就会被该函数转化为HTML实体<（&lt），输入>就被转为实体&gt.

4. htmlspecialchars()

在HTML中，一些特定字符有特殊的含义，如果要保持字符原来的含义，就应该转换为HTML实体。这个函数会返回转换后的字符串，例如‘&’ (ampersand) 转为’&amp‘（ps:请参照第三点中的实体对照表链接）

ps:此处原文有误（见评论），在此非常感谢瑾瑜  提出。现已更正，另外附上此函数常见的转换字符：

The translations performed are:

 ‘&’ (ampersand) becomes ‘&amp;’
 ‘”‘ (double quote) becomes ‘&quot;’ when ENT_NOQUOTES is not set.
 “‘” (single quote) becomes ‘&#039;’ (or &apos;) only when ENT_QUOTES is set.
 ‘<’ (less than) becomes ‘&lt;’
 ‘>’ (greater than) becomes ‘&gt;’
5. strip_tags()

这个函数可以去除字符串中所有的HTML，JavaScript和PHP标签，当然你也可以通过设置该函数的第二个参数，让一些特定的标签出现。

6. md5()

从安全的角度来说，一些开发者在数据库中存储简单的密码的行为并不值得推荐。md5()函数可以产生给定字符串的32个字符的md5散列，而且这个过程不可逆，即你不能从md5()的结果得到原始字符串。

现在这个函数并不被认为是安全的，因为开源的数据库可以反向检查一个散列值的明文。你可以在这里找到一个MD5散列数据库列表

7. sha1()

这个函数与md5()类似，但是它使用了不同的算法来产生40个字符的SHA-1散列（md5产生的是32个字符的散列）。也不要把绝对安全寄托在这个函数上，否则会有意想不到的结果。

8. intval()

先别笑，我知道这个函数和安全没什么关系。intval()函数是将变量转成整数类型，你可以用这个函数让你的PHP代码更安全，特别是当你在解析id，年龄这样的数据时。

PHP DDOS是一种利用php写的一款向外部服务器发布数据的一段代码了，几年前自己服务器中过一次php ddos了，phpddos主要作用是黑客利用服务器本身的php环境，然后把代码上传服务器上，再利用外部工具来控制这段代码的执行与攻击外部的那台机器，从而让你机器资源耗尽了，下面我们来看360杀毒PHP-DDOS脚本专杀工具怎么安装使用吧

1、百度搜索 360PHP-DDOS脚本专杀工具 我们进入到360官方去下载这个工具包。

2、下载好工具包之后我们再把 360doskill.php 上传到你的网站根目录了。

3、 然后我们再直接在浏览器输访问360doskill.php，访问地址：http://网站域名/360doskill.php

4、然后我们输入默认的用户名与密码登录。

5、然后我们点击扫描就可以扫描整个目录了，当然也可以指定目录搜索php ddos代码了。

6、如扫描之后会发现所有的php ddos文件所在目录我们只要远程上服务器删除即可。

友情提示，我们的最好对360doskill.php 文件的默认用户名与密码进行修改哦。

CC攻击攻击的原因就是不停的刷新动态页面如php+mysql读写数据库的页面，这样如果刷新比较快可以导致页面卡死或服务器资源使用超量，从而导致服务器挂了，下面给大家整理了一些防止CC攻击的例子。

CC攻击原因

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户（多少线程就是多少用户）不停地进行访问那些需要大量数据操作（就是需要大量CPU时间）的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

cc攻击刷新页面对我们没有任何意义，要说有意义就是把我们的网站资源使用尽了。

防御CC攻击可以通过多种方法，禁止网站代理访问，尽量将网站做成静态页面，限制连接数量，修改最大超时时间等。

例子

代码如下

复制代码

<?php //代理IP直接退出 empty($_SERVER['HTTP_VIA']) or exit('Access Denied'); //防止快速刷新 session_start(); $seconds = '3'; //时间段[秒] $refresh = '5'; //刷新次数 //设置监控变量 $cur_time = time(); if(isset($_SESSION['last_time'])){  $_SESSION['refresh_times'] += 1; }else{  $_SESSION['refresh_times'] = 1;  $_SESSION['last_time'] = $cur_time; } //处理监控结果 if($cur_time - $_SESSION['last_time'] < $seconds){  if($_SESSION['refresh_times'] >= $refresh){   //跳转至攻击者服务器地址   header(sprintf('Location:%s', 'http://127.0.0.1'));   exit('Access Denied');  } }else{  $_SESSION['refresh_times'] = 0;  $_SESSION['last_time'] = $cur_time; } ?>

防火墙是防CC攻击一个非常不错的解决方案了，不但不会对服务器有任何影响同时能有效的防止CC攻击

推荐小站长可使用安全狗来做防CC攻击或使用linux iptalbs来防止CC攻击，同样像我的服务器有机房防火墙会自动拦截这些类型的攻击哦。

防止站长提交表单无非就是对每一次打开表单或提交数据都会需要加一个token来进行验证了，这个其实与验证码做法没什么两样了，下面来看几个防止站外远程提交表单的例子。

例子一，我们每一次打开提交页面生成一个token然后保存在session中，当表单提交时我们来判断当前的token值与session是否一致，如果是的就是正常提交否则就是无效提交了。

代码

代码如下

复制代码

<?php     session_start();          if ($_POST['submit'] == "go"){         //check token         if ($_POST['token'] == $_SESSION['token']){             //strip_tags             $name = strip_tags($_POST['name']);             $name = substr($name,0,40);             //clean out any potential hexadecimal characters             $name = cleanHex($name);             //continue processing....         }else{             //stop all processing! remote form posting attempt!         }     }          $token = md5(uniqid(rand(), true));     $_SESSION['token']= $token;           function cleanHex($input){         $clean = preg_replace("![＼][xX]([A-Fa-f0-9]{1,3})!", "",$input);         return $clean;     }     ?>     <form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">     <p><label for="name">Name</label>     <input type="text" name="name" id="name" size="20" maxlength="40"/></p>     <input type="hidden" name="token" value="<?php echo $token;?>"/>     <p><input type="submit" name="submit" value="go"/></p>     </form>

还有一种比较明显的做法就是利用验证码了，这种验证码的方式与其它的方式是一样的哦，下面看个简单的例子

增加验证码

表单提交时候增加验证码，可以有效防止灌水机提交数据。但是随着图形图像识别程序变的更加强大，验证码识别也不断的在提高他的难度，有些验证码甚至加入了声音的识别，一些小站点可以采用这样的方式。

代码如下	复制代码
if($_POST['vcode'] != get_vcode()) {     exit('验证码校验失败，无法入库'); }

具体的例子就不介绍了网上很多验证的相关例子。