程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> PHP中常用的轉義函數

PHP中常用的轉義函數

編輯:關於PHP編程

      這篇文章主要介紹了PHP中常用的轉義函數、安全函數,使用這些函數可以過濾大部份常見的攻擊手段,如SQL注入,需要的朋友可以參考下

      1. addslashes

      addslashes對SQL語句中的特殊字符進行轉義操作,包括(‘), (“), (), (NUL)四個字符,此函數在DBMS沒有自己的轉義函數時候使用,但是如果DBMS有自己的轉義函數,那麼推薦使用原裝函數,比如MySQL有mysql_real_escape_string函數用來轉義SQL。 注意在PHP5.3之前,magic_quotes_gpc是默認開啟的,其主要是在$GET, $POST, $COOKIE上執行addslashes操作,所以不需要在這些變量上重復調用addslashes,否則會double escaping的。不過magic_quotes_gpc在PHP5.3就已經被廢棄,從PHP5.4開始就已經被移除了,如果使用PHP最新版本可以不用擔心這個問題。stripslashes為addslashes的unescape函數。

      2. htmlspecialchars

      htmlspecialchars把HTML中的幾個特殊字符轉義成HTML Entity(格式:&xxxx;)形式,包括(&),(‘),(“),(<),(>)五個字符。

      & (AND) => &

      ” (雙引號) => " (當ENT_NOQUOTES沒有設置的時候)

      ‘ (單引號) => ' (當ENT_QUOTES設置)

      < (小於號) => <

      > (大於號) => >

      htmlspecialchars可以用來過濾$GET,$POST,$COOKIE數據,預防XSS。注意htmlspecialchars函數只是把認為有安全隱患的HTML字符進行轉義,如果想要把HTML所有可以轉義的字符都進行轉義的話請使用htmlentities。htmlspecialchars_decode為htmlspecialchars的decode函數。

      3. htmlentities

      htmlentities把HTML中可以轉義的內容轉義成HTML Entity。html_entity_decode為htmlentities的decode函數。

      4. mysql_real_escape_string

      mysql_real_escape_string會調用MySQL的庫函數mysql_real_escape_string,對(x00), (n), (r), (), (‘), (x1a)進行轉義,即在前面添加反斜槓(),預防SQL注入。注意你不需要在讀取數據庫數據的時候調用stripslashes來進行unescape,因為這些反斜槓是在數據庫執行SQL的時候添加的,當把數據寫入到數據庫的時候反斜槓會被移除,所以寫入到數據庫的內容就是原始數據,並不會在前面多了反斜槓。

      5. strip_tags

      strip_tags會過濾掉NUL,HTML和PHP的標簽。

      6. 結語

      PHP自帶的安全函數並不能完全避免XSS,推薦使用HTML Purifier

    1. 上一頁:
    2. 下一頁:
    Copyright © 程式師世界 All Rights Reserved