PHP正規表示 - 疑問 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

PHP正規表示 - 疑問

php 正規表示法

eric1223 2021-03-04 09:52:39 ‧ 1990 瀏覽

我為了過濾使用者輸入可能造成SQL Injection問題，所以用preg_replace()去過濾成特定輸出，我希望產生的效果是：

允許不分大小寫英文字母以及數字
特殊符號只允許 ","，其餘皆替換成空白
我目前設計的規則如下：

$str = "1#2,'3'4--";
$pattern = '/[\W]/';
$replacement = '';
$val = preg_replace($pattern, $replacement, $str);
echo $str; // 1234

我想顯示的是 12,34，請問第2點可如何實現？

看更多先前的討論...收起先前的討論...

wrxue iT邦好手 1 級 ‧ 2021-03-04 10:02:48 檢舉

要預防被注入、安全的執行SQL，必定要用「Parameterized Query」 + 「Prepared Statement」，缺一不可
用黑名單限制符號，能限制到多強程度？

player iT邦大師 1 級 ‧ 2021-03-04 15:35:15 檢舉

參數化查詢
https://zh.wikipedia.org/zh-tw/%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2

japhenchen iT邦超人 1 級 ‧ 2021-03-04 16:26:55 檢舉

$pattern = '/[^\w^\d^\.]/';

最後一行應該是
echo $val;
吧？

eric1223 iT邦新手 5 級 ‧ 2021-03-05 15:18:17 檢舉

是，撰寫內容的時候打錯了，謝謝提醒

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

舜~

iT邦高手 1 級 ‧ 2021-03-04 11:23:29

最佳解答

preg_replace的正規表示使用 /[^0-9A-z,]/ ，將符合的全部取代呈空白即可，
屆時只會剩下 0~9，大小寫a~z，"," ，其他的都變成空白了

回應
分享
檢舉

登入發表回應

Han

iT邦研究生 1 級 ‧ 2021-03-04 10:03:49

我想這問題應該不太算是php 算正規表示的問題
https://regex101.com/ 可透過此網站測試
改成以下，去除掉非文字、逗號就是你要的結果了
[\W,]

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

Han iT邦研究生 1 級 ‧ 2021-03-04 10:05:45 檢舉

不過也如樓上 wrxue 所說
避免injection不會這樣處理，應該透過 bind variable 方式進行處理

koro_michael iT邦新手 2 級 ‧ 2021-03-04 10:12:37 檢舉

\W 有包含底線，可能要直接寫 [^A-z0-9,]

eric1223 iT邦新手 5 級 ‧ 2021-03-04 10:18:13 檢舉

SQL語法有使用參數化查詢的寫法，但有欄位是用in的方式，所以值才會用到","，[^A-z0-9,]確實可以符合條件，感謝各位提供建議與說明。

wrxue iT邦好手 1 級 ‧ 2021-03-04 11:07:14 檢舉

用 in 也可以使用參數化查詢，請不要用字串串接的方式累死自己又不安全

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙