在PHP中显示格式化的用户输入

你可以在这个页面下载这个文档附带的文件，也可以在文件下载中的字符处理中下载这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险，给出一个安全的显示格式化输出的方法。
　　没有过滤输出的危险
　　如果你仅仅获得用户的输入然后显示它，你可能会破坏你的输出页面，如一些人能恶意地在他们提交的输入框中嵌入javascript脚本：
This is my comment.
＜script language="javascript:
alert('Do something bad here!')">.
　　这样，即使用户不是恶意的，也会破坏你的一些HTML的语句，如一个表格突然中断，或是页面显示不完整。
　　只显示无格式的文本
　　这是一个最简单的解决方案，你只是将用户提交的信息显示为无格式的文本。使用htmlspecialchars()函数，将转化全部的字符为HTML的编码。
　　如＜b>将转变为<b>，这可以保证不会有意想不到的HTML标记在不适当的时候输出。
　　这是一个好的解决方案，如果你的用户只关注没有格式的文本内容。但是，如果你给出一些可以格式化的能力，它将更好一些。
Formatting with Custom Markup Tags
用户自己的标记作格式化
　　你可以提供特殊的标记给用户使用，例如，你可以允许使用[b]...[/b]加重显示，[i]...[/i]斜体显示，这样做简单的查找替换操作就可以了： $output = str_replace("[b]", "＜b>", $output);
$output = str_replace("[i]", "＜i>", $output);
　　再作的好一点，我们可以允许用户键入一些链接。例如，用户将允许输入[link="url"]...[/link]，我们将转换为＜a href="">...＜/a>语句
　　这时，我们不能使用一个简单的查找替换，应该使用正则表达式进行替换：
$output = ereg_replace('[link="([[:graph:]]+)"]', '＜a href="1">', $output);
ereg_replace()的执行就是：
查找出现[link="..."]的字符串，使用＜a href="..."> 替换它
[[:graph:]]的含义是任何非空字符，有关正则表达式请看相关的文章。
　　在outputlib.php的format_output()函数提供这些标记的转换，总体上的原则是：
　　调用htmlspecialchars()将HTML标记转换成特殊编码，将不该显示的HTML标记过滤掉，然后，将一系列我们自定义的标记转换相应的HTML标记。
请参看下面的源代码：
＜?php
function format_output($output) {
本文主要是为小菜们服务的，如果你已经是一只老鸟呢，可能某些东西会感觉比较乏味，但只要你仔细的看，你会发现很多有趣的东西哦。
阅读此文你只要明白下面的这点东西就够了。
1.明白php+mysql环境是如何搭建的，在光盘中我们收录搭建的相关文章，如果您对搭建php+mysql环境不是很清楚，请先查阅此文，在上一期的专题中也有所介绍。
2.大概了解php和apache的配置，主要用到php.ini和httpd.conf
而此文我们主要用到的是php.ini的配置。为了安全起见我们一般都打开php.ini里的安全模式，即让safe_mode = On，还有一个就是返回php执行错误的display_errors 这会返回很多有用的信息，所以我们应该关闭之，
即让display_errors＝off    关闭错误显示后，php函数执行错误的信息将不会再显示给用户。
在php的配置文件php.ini中还有一个非常重要的配置选项magic_quotes_gpc，高版本的默认都是magic_quotes_gpc＝On，只有在原来的古董级的php中的
默认配置是magic_quotes_gpc＝Off，可是古董的东西也有人用的哦！
当php.ini中magic_quotes_gpc＝On的时候会有什么情况发生哩，不用惊慌，天是塌不下来的啦！它只是把提交的变量中所有的 ' (单引号), " (双引号), (反斜线) 和 空字符会自动转为含有反斜线的转义字符，例如把'变成了',把变成了。
就是这一点，让我们很不爽哦，很多时候我们对字符型的就只好说BYEBYE了，
但是不用气馁，我们还是会有好方法来对付它的，往下看咯！
3.有一定的php语言基础和了解一些sql语句，这些都很简单，我们用到的东西很少，所以充电还来的及哦！
我们先来看看magic_quotes_gpc＝Off的时候我们能干些啥，然后我们再想办法搞一搞magic_quotes_gpc＝On的情况哈
一：magic_quotes_gpc＝Off时的注入
ref="http://hackbase.com/hacker" target=_blank>攻击
magic_quotes_gpc＝Off的情况虽然说很不安全，新版本默认也让
magic_quotes_gpc＝On了，可是在很多服务器中我们还发现magic_quotes_gpc＝Off的情况，例如www.qichi.*。
还有某些程序像vbb论坛就算你配置magic_quotes_gpc＝On，它也会自动消除转义字符让我们有机可乘，所以说
magic_quotes_gpc＝Off的注入方式还是大有市场的。
下面我们将从语法，注入点 and 注入类型几个方面来详细讲解mysql＋php注入
A:从MYSQL语法方面先
    1。先讲一些mysql的基本语法，算是给没有好好学习的孩子补课了哦~_~
多态性
　　多态性被定义为当在运行时刻一个对象作为参数传递时，对象能决定调用那个方法的能力。例如，用一个类定义了方法 "draw"，继承类重定义 "draw" 的行为来画圆或正方形，这样你就有一个参数为 x 的函数，在函数里可以调用$x-＞draw(). 如果支持多态性，那么 "draw" 方法的调用就取决于对象 x 的类型。多态性在PHP中很自然被支持（想一想这种情况在C++编译器中如果编译，那一个方法被调用？然而你不知道对象的类型是什么，当然现在不是这种情况）。
　　幸好PHP支持多态性。
function niceDrawing($x) {
//Supose this is a method of the class Board.
$x-＞draw();
}
$obj=new Circle(3,187);
$obj2=new Rectangle(4,5);
$board-＞niceDrawing($obj); //will call the draw method of Circle.
$board-＞niceDrawing($obj2); //will call the draw method of Rectangle.
?＞
　　PHP的面向对象编程
　　纯对象论者认为PHP不是真正的面向对象语言，这是对的。PHP是一种混合语言，你可以用面向对象或传统结构编程的方法来使用它。对于大型工程，然而你可能或需要使用纯面向对象方法来定义类，并在你的工程中只使用对象和类。越来越大的工程通过使用面向对象的方法会获得益处，面向对象工程非常容易维持，容易理解并且重用。这是软件工程的基本。使用这些概念在网站设计中是未来成功的关键。
　　PHP中的高级面向对象技术
　　在回顾面向对象的基本概念之后，我将介绍一些更高级的技术。
　　串行化
　　PHP并不支持持久性对象，在面向对象语言中持久性对象是一些经过应用程序多次调用仍然保持其状态和功能的对象，这意味着有一种能保存对象到文件或数据库中然后重新装载对象。这种机制称之为串行化。PHP 有一个串行化函数，可以在对象中调用，串行化函数返回一个字符串代表这个对象。然后串行化函数保存的是成员数据而不是成员函数。
　　在PHP4中，如果你串行化一个对象到字符串 $s, 然后删除此对象，再反串行化对象到 $obj， 你仍然可以调用对象的方法函数。但我不推荐这种方法，这因为(a)这种功能在将来不一定支持(b)这导致一种幻象，如果你保存串行化对象到磁盘并退出程序。将来重新运行此脚本时你不能反串行化此对象并希望对象的方法函数仍有效，因为串行化出来的字符串并没有表示任何成员函数。最后，串行化保存对象的成员变量在PHP中非常有用，仅仅如此. （你可以串行化联合数组和数组到磁盘里）。
<?php
if ($EMAIL_INC) return;
$EMAIL_INC= "defined";
define( "SmtpPort",25);
class Pop3 {
var $subject; // 邮件主题
var $from_email; // 发件人地址
var $from_name; // 发件人姓名
var $to_email; // 收件人地址
var $to_name; // 收件人姓名
var $body; // 邮件内容
var $filename; // 文件名
var $socket; // 当前的 socket
var $Line;
var $Status;
function pop3_open($server, $port)
{
$this->Socket = fsockopen($server, $port);
if ($this->Socket <= 0){
return false;
}
$this->Line = fgets($this->Socket, 1024);
$this->Status[ "LASTRESULT"] = substr($this->Line, 0, 1);
$this->Status[ "LASTRESULTTXT"] = substr($this->Line, 0, 1024);
if ($this->Status[ "LASTRESULT"] <> "+") return false;
return true;
}
function pop3_user($user)
{
if ($this->Socket < 0){
return false;
}
fputs($this->Socket, "USER $this->userrn");
$this->Line = fgets($this->Socket, 1024);
$this->Status[ "LASTRESULT"] = substr($this->Line, 0, 1);
$this->Status[ "LASTRESULTTXT"] = substr($this->Line, 0, 1024);
if ($this->Status[ "LASTRESULT"] <> "+") return false;
return true;
}
function pop3_pass( $pass)
{
fputs($this->Socket, "PASS $passrn");
$this->Line = fgets($this->Socket, 1024);
$this->Status[ "LASTRESULT"] = substr($this->Line, 0, 1);
$this->Status[ "LASTRESULTTXT"] = substr($this->Line, 0, 1024);
if ($this->Status[ "LASTRESULT"] <> "+") return 0;
return 1;
}
function pop3_stat()
{
fputs($this->Socket, "STATrn");
$this->Line = fgets($this->Socket, 1024);
$this->Status[ "LASTRESULT"] = substr($this->Line, 0, 1);
$this->Status[ "LASTRESULTTXT"] = substr($this->Line, 0, 1024);
if ($this->Status[ "LASTRESULT"] <> "+") return 0;
1：传漏洞利用的原理只是针对form格式上传的asp和php脚本***
nc(netcat)
     用于提交数据包
     dos界面下运行:
     nc -vv www.***.com 80<1.txt
     -vv: 回显
     80:    www端口
     1.txt: 就是你要发送的数据包
    (更多使用方法请查看本区的帖子)
wse(wsockexpert)
     对本机端口的监视,抓取ie提交的数据包
2：漏洞原理
下面例子假设的前提
www主机:    www.***.com;
bbs路径 :    /bbs/
漏洞源于对动网上传文件的研究,建议有一定编程经验的
看看dvbbs的upfile.asp文件,没有必要全部看懂
upfile是通过生成一个form表上传,如下
<form name="form" method="post" action="upfile.asp" ...>
<input type="hidden" name="filepath" value="uploadface">
<input type="hidden" name="act" value="upload">
<input type="file" name="file1">
<input type="hidden" name="fname">
<input type="submit" name="submit" value="上传" ...></form>
用到的变量:
filepath 默认值uploadface 属性hiden
act        默认值upload     属性hiden
file1    就是你要传的那个文件
关键是 filepath 这个变量!
默认情况下我们的文件上传到www.***.com/bbs/uploadface/
文件是用你的上传时间命名的,就是upfile里的这一句
filename=formpath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&rannum&"."&fileext
--------------------------------------
我们知道计算机里面的数据是一""为标致的用过c语言的都知道
char data[]="bbs"
这个data数组长度是4: b b s
如果我们构造filepath如下,会怎么样呢?
filepath="/newmm.asp"
我们在2004.09.24.08.24传的文件就会发生变化