PHP常⽤的转义函数
1. addslashes
addslashes对SQL语句中的特殊字符进⾏转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有⾃⼰的转义函数时候使⽤,但是如果DBMS有⾃⼰的转义函数,那么推荐使⽤原装函数,⽐如MySQL有mysql_real_escape_string函数⽤来转义SQL。注意在PHP5.3之
前,magic_quotes_gpc是默认开启的,其主要是在$GET, $POST, $COOKIE上执⾏addslashes操作,所以不需要在这些变量上重复调⽤addslashes,否则会double escaping的。不过magic_quotes_gpc在PHP5.3就已经被废弃,从PHP5.4开始就已经被移除了,如果使⽤PHP 最新版本可以不⽤担⼼这个问题。stripslashes为addslashes的unescape函数。
2. htmlspecialchars
htmlspecialchars把HTML中的⼏个特殊字符转义成HTML Entity(格式:&xxxx;)形式,包括(&),(‘),(“),(<),(>)五个字符。
& (AND) => &
” (双引号) => " (当ENT_NOQUOTES没有设置的时候)
‘ (单引号) => ' (当ENT_QUOTES设置)
< (⼩于号) => <
> (⼤于号) => >
htmlspecialchars可以⽤来过滤$GET,$POST,$COOKIE数据,预防XSS。注意htmlspecialchars函数只是把认为有安全隐患的HTML字符进⾏转义,如果想要把HTML所有可以转义的字符都进⾏转义的话请使⽤htmlentities。htmlspecialchars_decode为htmlspecialchars的decode函数。
3. htmlentities
php延时函数htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的decode函数。
4. mysql_real_escape_string
mysql_real_escape_string会调⽤MySQL的库函数mysql_real_escape_string,对(\x00), (\n), (\r), (), (‘), (\x1a)进⾏转义,即在前⾯添加反斜杠(),预防SQL注⼊。注意你不需要在读取数据库数据的时候调⽤stripslashes来进⾏unescape,因为这些反斜杠是在数据库执⾏SQL的时候添加的,当把数据写⼊到数据库的时候反斜杠会被移除,所以写⼊到数据库的内容就是原始数据,并不会在前⾯多了反斜杠。
5. strip_tags
strip_tags会过滤掉NUL,HTML和PHP的标签。
6. 结语
PHP⾃带的安全函数并不能完全避免XSS,推荐使⽤HTML Purifier

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。