php 数据安全性（过滤提交的数据）

1.在common.php公共方法加入

 /**
     * 过滤sql与php文件操作的关键字
     */
     function filter_keyword( $string ) {
        $keyword = 'select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile';
        $arr = explode( '|', $keyword );
        $result = str_ireplace( $arr, '', $string );
        return $result;
    }

    /**
     * 检查输入的数字是否合法，合法返回对应id，否则返回-1
     */
     function check_id( $id ) {
        $result = -1;
        if ( $id !== '' && !is_null( $id ) ) {
            $var =filter_keyword( $id ); // 过滤sql与php文件操作的关键字
            if ( $var !== '' && !is_null( $var ) && is_numeric( $var ) ) {
                $result = intval( $var );
            }
        }
        return $result;
    }
 
    /**
     * 检查输入的字符是否合法，合法返回对应id，否则返回-1
     */
    function check_str( $string ) {
        $result = -1;
        $var = filter_keyword( $string ); // 过滤sql与php文件操作的关键字
        if ( !empty( $var ) ) {
            if ( !get_magic_quotes_gpc() ) {    // 判断magic_quotes_gpc是否为打开
                $var = addslashes( $string );    // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
            }
            //$var = str_replace( "_", "\_", $var );    // 把 '_'过滤掉
            $var = str_replace( "%", "\%", $var );    // 把 '%'过滤掉
            $var = nl2br( $var );    // 回车转换
            $var = htmlspecialchars( $var );    // html标记转换
            $result = $var;
        }
        return $result;
    }

2.在控制器中使用

        $post=request()->only(['kid','id']);
        $check_id=check_id($post['kid']);
        if($check_id >=0){
            //$res=db('singlepage')->where('id',10)->value('content');
            //$this->assign('res',$res);
            //return $this->view->fetch('contacts/index');
        }else {
            halt('<h1>请检查参数</h1>');
        }