将PHP中的_GET var字符串清除为仅字母

I have the common used function php get to include a file and display it as a page like this

index.php?F=contact
<?php
$file=$_GET['F'];
include('the_files/'.$file.'.php');
?>
This will display file contact.php

Because of security I want to filter the

$file=$_GET['F'];

with some kind of code so only text without simbols without slashes will get in the INCLUDE

I tried with

 <?php
    $clean_file=mysqli_real_escape_string($clean_file,$_GET['F']);
    include('the_files/'.$clean.'.php');
    ?>

But it seems like this is only to clean MySQLi...

Any idea how to do that?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

4条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douxie9347 2017-07-24 22:41
关注
Try:

$file = preg_replace('/[^a-z_\-]/i', '', $_GET['F']);

Of course, I would just run a test and send them to IC3, if they're trying to hack your page.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(3条)

报告相同问题？

关注问题

将PHP中的_GET var字符串清除为仅字母 html mysql php
2017-07-24 22:34

回答 4 已采纳 Try: $file = preg_replace('/[^a-z_\-]/i', '', $_GET['F']); Of course, I would just run a test a
PHP查询字符串不返回$ _GET的全文 html php
2017-04-04 23:03

回答 2 已采纳 You forgot the quotes around your HTML value attribute resulting in only the content before the fi
将数组值转换为字符串可写入从$ _GET函数传入的文本文件 php
2015-02-05 00:19

回答 3 已采纳 Actually I realized that only using the json_encode function solved my problem and started to turn
2024前端面试题总汇（持续更新中...）
2023-09-26 06:11

小菜猿_的博客前端面试八股文大全！！！！！
正则表达式模式在PHP中的file_get_contents中查找此特定字符串 php
2015-06-16 14:07

回答 2 已采纳 You can use a regular expression like the following also presented on Regex101. This looks for a &
如何在php中执行file_get_contents后清除内存 php
2015-03-20 20:26

回答 3 已采纳 if ($_POST["submit"]) { $ip = $_POST['ip']; $subnet = $_POST['subnet'];
php中$_get获取值的问题。。。 php
2019-06-26 19:54

回答 5 已采纳预定义的 $_GET 变量用于收集来自 method="get" 的表单中的值，具体来说是获取通过get方式传递url中的参数。举个例子： ``` 名字:
web前端加php题,也许你需要点实用的-Web前端笔试题
2021-04-24 02:41

方轩固的博客 Web前端笔试题Html+css1.对WEB标准以及w3c的理解与认识。标签闭合，标签小写，不乱嵌套：提高搜索机器人的搜索几率；使用外联的css和js，结构行为表现的分离：文件下载与页面加载速度更快，内容能被更广泛的设备所...
PHP base64_encode在字符串末尾添加奇怪的字符 php
2018-03-16 12:10

回答 1 已采纳 Within the docs on php.net (http://php.net/manual/en/function.base64-encode.php#103849) the top co
PHP循环遍历数组并将其元素转换为一个字符串 php
2017-08-25 08:55

回答 4 已采纳 With php5.5 and more you can use array_column + implode: echo implode(', ', array_column($matches
PHP preg_match函数从字符串中获取电话号码 php
2014-09-01 13:16

回答 1 已采纳 Change your regular expression to /(\d+ \d+\-\d+)/ <?php $str = 'abc:123,phoneNumber:631 741-
[NewStarCTF 2023] web题解
2023-10-16 10:29

_rev1ve的博客分析一下，第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038；和反引号去绕过对system函数的过滤，反斜杠绕过flag，tac替换cat命令。（多次尝试，发现回显的位置在5而不是1，开始卡了很久没回显）...
Golang中有与PHP openssl_pkey_get_private等效的东西吗？ php
2018-05-22 07:28

回答 1 已采纳 Of course Go can load x509 private keys, but there is no "do-what-I-want" function, such as openss
ctfshow web入门命令执行2（52~77）(含总结)
2022-01-16 00:15

Hu'Ting的博客 get_defined_vars() 返回已经定义了的变量名和数组名因为flag.php给include的了，所以flag.php中的变量名也会被输出 web入门64、65 if(isset($_POST['c'])){ $c= $_POST['c']; eval($c);}else{ highlight_file(__...
前端面试题（持续更新中）
2022-08-17 14:27

惜缘627的博客 1、z-index用于设置标签的层级关系，需要同时设置position属性，标签z-index默认为0，可以设置为负数，值越大，位置越靠上2、Scoped用来设置css样式只对当前组件起作用3、如何获取dom？Ref=”domName” 用法：this.$...
没有解决我的问题, 去提问

悬赏问题

¥500 火焰左右视图、视差（基于双目相机）
¥100 set_link_state
¥15 虚幻5 UE美术毛发渲染
¥15 CVRP 图论物流运输优化
¥15 Tableau online 嵌入ppt失败
¥100 支付宝网页转账系统不识别账号
¥15 基于单片机的靶位控制系统
¥15 真我手机蓝牙传输进度消息被关闭了，怎么打开？(关键词-消息通知)
¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本

将PHP中的_GET var字符串清除为仅字母

4条回答 默认 最新

悬赏问题

4条回答默认最新