如何从GET提交中删除特殊字符

Question

我遇到了一个特殊字符问题，我使用该脚本执行命令向我的游戏服务器发送用户名以奖励他们进行投票。

<form action="index.php" method="GET"> <input type="submit" value="Submit" /> </form>

它提交到正确的信息特殊字符和所有的数据库 - 但是当执行到我的游戏服务器就否定了特殊字符，他们可以通过使用名称Testusername /或Testusername滥用它//和每天获得多个奖励。

我试过使用隐藏类型，但我的系统无法使用POST。

任何想法？我很无奈。

编辑*

任何0-9 _ AZ字符允许的特殊字符为！@＃$％^ * &（）_ +} {}等我使用逃生字符串和我不担心sql注入我尝试了多种消毒方式，他们都失败了。我使用的是mySQL，但不是用于发送作为日志的奖励，并且验证在过去24小时内没有投票并阻止他们再次进行投票的用户。基本上说，他们投票用户名测试，并得到他们的奖励和投票用户名测试/和它说测试投票再次游戏和接收X2奖励

Answer 1

简单preg_replace应该这样做：

$username = preg_replace('#[^a-z0-9_]#', '', $username); 

这条一切，但：

个
• 小写字母字符
• 数字0到9
• 下划线

如果大写是OK，再加入到A-Z正则表达式，或者strtolower()输入预先。在保存输入或将其发送到其他服务器之前执行此操作。

我对于游戏服务器的确切困境有点不确定，但理想情况下，您应该从其他服务器获取响应，以查看保存之前实际输入的用户名，而且您不必完全过滤它，因为您将从其他服务器获得已过滤的值。

Answer 2

这样的事情应该工作..只填充bad_chars数组与所有的坏字符...

array $bad_chars = array('@', '!', '#'); // setup your chars to filter out 

for($i = 0; $i < size_of($bad_chars); $i++) // iterate through them all 
{ 
    str_replace($bad_chars[i], '', $_GET['string_to_be_filtered']); // replace all 
} 

Answer 3

由于您只想更换斜杠，因此可以使用此功能。

<?php 
$user = $_GET["user"]; 
$user = str_replace("/", "", $user); 
?> 

这是其他岗位的更高效的版本，在我面前：

<?php 
$user = $_GET["user"]; 
$special = array('@', '!', '#'); 
$user = str_replace($special, "", $user); 
?> 

Answer 4

可以更换下列隐蔽特殊字符

$formdesc = htmlentities($_POST['formdesc'], ENT_QUOTES, 'UTF-8'); 

希望这将有助于你