PHP下ereg實(shí)現(xiàn)匹配ip的正則

2020-01-20 22:24:47

字體：大中小

供稿：網(wǎng)友

我們先看個(gè)代碼片段：

$ip = "1.1.1.255".chr(0)."haha";  
if(ereg("^[0-9]{1,3}/.[0-9]{1,3}/.[0-9]{1,3}/.[0-9]{1,3}$",$ip)) {  
        echo $ip;  
} else {  
        echo "unknown";  
} 

這個(gè)ereg正則限制了$ip的數(shù)據(jù)為xxx.xxx.xxx.xxx這樣的形式，表面上看上面的代碼應(yīng)該輸出"unknown"，而實(shí)際卻輸出了"1.1.1.255haha"，因?yàn)閑reg函數(shù)存在NULL截?cái)嗦┒矗瑢?dǎo)致了正則過濾被繞過。4 /2 n+ Y6 |; Z7 O

6 e& b6 C5 F- W- F$ z我們?cè)诶脮r(shí)必須要引入/x00(%00)，而在GPC為ON的情況下%00會(huì)被轉(zhuǎn)義導(dǎo)致無(wú)法利用。但是如果被ereg()處理的是$ _SERVER(在PHP5下可以繞過GPC）或是被urldecode這樣的函數(shù)處理導(dǎo)致GPC被繞過的數(shù)據(jù)呢？比如有些程序就用上面的方法驗(yàn)證$ _SERVER提交上來(lái)的IP，那么我們就可以利用NULL截?cái)嗬@過正則過濾來(lái)構(gòu)造我們需要的數(shù)據(jù)了：）

上一篇：[js]用JAVASCRIPT正則表達(dá)式限制文本字節(jié)數(shù)的代碼

下一篇：[a] 1 [/a]轉(zhuǎn)換為網(wǎng)址的UBB的正則