Heim >Backend-Entwicklung >PHP-Problem >Was sind die PHP-Escape-Funktionen?

Was sind die PHP-Escape-Funktionen?

青灯夜游
青灯夜游Original
2021-03-17 11:17:572303Durchsuche

php-Escape-Funktionen umfassen: 1. Funktion „addslashes()“; 3. Funktion „htmlentities()“; 5. Funktion „strip_tags()“;

Was sind die PHP-Escape-Funktionen?

Die Betriebsumgebung dieses Tutorials: Windows 7-System, PHP-Version 7.1, DELL G3-Computer

1. addslashes

addslashes maskiert Sonderzeichen in SQL-Anweisungen, einschließlich (‘), (“), (), (NUL) vier Zeichen.

Diese Funktion wird verwendet, wenn das DBMS keine eigene Escape-Funktion hat. Es wird jedoch empfohlen, die Originalfunktion zu verwenden. MySQL verfügt beispielsweise über die Funktion mysql_real_escape_string, um SQL zu maskieren.

Beachten Sie, dass magic_quotes_gpc vor PHP5.3 standardmäßig aktiviert war, hauptsächlich in $GET, $POST, Führen Sie den Addslashes-Vorgang für $COOKIE aus, sodass Addslashes nicht wiederholt für diese Variablen aufgerufen werden muss, andernfalls wird der Wert verdoppelt entkommen.

Magic_quotes_gpc wurde jedoch in PHP5.3 aufgegeben und wurde seit PHP5.4 entfernt. Wenn Sie die neueste Version von PHP verwenden, müssen Sie sich über dieses Problem keine Sorgen machen. Stripslashes ist die Unescape-Funktion von Addslashes.

2. htmlspecialchars

htmlspecialchars maskiert mehrere Sonderzeichen in HTML in HTML Entitätsformular (Format: &xxxx;), einschließlich (&), ('), ("), (<), (>) fünf Zeichen.

& (AND) => &
" (doppelte Anführungszeichen ) => " (Wenn ENT_NOQUOTES nicht gesetzt ist)
' (einfaches Anführungszeichen) => ' (wenn ENT_QUOTES gesetzt ist)
(Kleiner-als-Zeichen) =>
htmlspecialchars kann zum Filtern von $GET-, $POST- und $COOKIE-Daten verwendet werden, um XSS zu verhindern. Beachten Sie, dass die Funktion „htmlspecialchars“ nur HTML-Zeichen maskiert, bei denen ein Sicherheitsrisiko besteht. Wenn Sie alle Zeichen maskieren möchten, die in HTML maskiert werden können, verwenden Sie bitte htmlentities. htmlspecialchars_decode ist die Dekodierungsfunktion von htmlspecialchars.

3. htmlentities

htmlentities maskiert den escapbaren Inhalt in HTML in HTML Juristische Person. html_entity_decode ist die Dekodierungsfunktion von htmlentities.

4. mysql_real_escape_string

mysql_real_escape_string ruft die MySQL-Bibliotheksfunktion mysql_real_escape_string auf, rechts (x00), (n), (r), (), (‘), (x1a) als Escapezeichen, das heißt, fügen Sie einen Backslash () voran, um eine SQL-Injection zu verhindern. Beachten Sie, dass Sie beim Lesen der Datenbankdaten keine Stripslashes aufrufen müssen, um die Escape-Funktion aufzuheben, da diese Backslashes hinzugefügt werden, wenn die Datenbank SQL ausführt, und die Backslashes entfernt werden, wenn die Daten in die Datenbank geschrieben werden, sodass der Inhalt in die Datenbank geschrieben wird sind die Originaldaten und es werden keine Backslashes davor stehen.

5. strip_tags

strip_tags filtert NUL-, HTML- und PHP-Tags heraus.

Empfohlenes Lernen: „

PHP-Video-Tutorial

Das obige ist der detaillierte Inhalt vonWas sind die PHP-Escape-Funktionen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn