Maison > Article > développement back-end > Comment filtrer les chaînes dangereuses en php

Comment filtrer les chaînes dangereuses en php

藏色散人original: 2021-06-19 10:18:203013parcourir

Comment filtrer les chaînes non sécurisées en PHP : 1. Ajoutez une « barre oblique inverse » aux caractères spéciaux via la fonction mysql_real_escape_string ; 2. Ajoutez une barre oblique inverse aux caractères spéciaux via la fonction addlashes 3. Utilisez les fonctions htmlentities pour filtrer les données d'entrée de l'utilisateur et ; plus.

L'environnement d'exploitation de cet article : système Windows 7, PHP version 7.1, ordinateur DELL G3

Comment filtrer les chaînes non sécurisées en PHP ? Résumé de l'utilisation des fonctions de filtrage de sécurité des caractères en PHP

Cet article présente principalement brièvement les fonctions de filtrage de sécurité des caractères en PHP. Il est très utile pour prévenir les attaques par injection SQL et les attaques XSS. tout le monde ici.

Lors du processus de développement WEB, nous avons souvent besoin d'obtenir des données saisies par des utilisateurs du monde entier. Cependant, nous « ne pouvons jamais faire confiance aux données saisies par les utilisateurs ». Par conséquent, dans divers langages de développement Web, des fonctions sont fournies pour assurer la sécurité des données saisies par l'utilisateur. En PHP, il existe des fonctions très utiles et pratiques qui peuvent vous aider à prévenir des problèmes tels que les attaques par injection SQL, les attaques XSS, etc.

mysql_real_escape_string()

Cette fonction a été utilisée pour empêcher les attaques par injection SQL en PHP Il fournit une grande aide. Il ajoute une « barre oblique inverse » aux caractères spéciaux, tels que les guillemets simples et les guillemets doubles, pour garantir que la saisie de l'utilisateur est sécurisée avant de l'utiliser pour interroger. Mais vous devez noter que vous utilisez cette fonction lorsque vous êtes connecté à la base de données.
Mais maintenant, la fonction mysql_real_escape_string() n'est fondamentalement plus nécessaire. Tout nouveau développement d'applications devrait utiliser des bibliothèques comme PDO pour faire fonctionner la base de données. En d'autres termes, nous pouvons utiliser des instructions prêtes à l'emploi pour empêcher les attaques par injection SQL.

addslashes()

Cette fonction est très similaire à mysql_real_escape_string() ci-dessus, La même barre oblique inverse est ajoutée pour les caractères spéciaux, mais veillez à ne pas utiliser cette fonction lorsque la valeur de magic_quotes_gpc dans le fichier de paramètres php.ini est "on". Lorsque magic_quotes_gpc = on, exécute automatiquement addlashes() sur toutes les données GET, POST et COOKIE. N'utilisez pas addlashes() sur les chaînes qui ont été échappées par magic_quotes_gpc, car cela entraînerait un double échappement. Vous pouvez vérifier la valeur de cette variable via la fonction get_magic_quotes_gpc() en PHP.

3htmlentities()

Cette fonction est très utile pour filtrer les données d'entrée de l'utilisateur. Les caractères peuvent être convertis en entités HTML. Par exemple, lorsque l'utilisateur saisit le caractère "<", celui-ci sera converti en entité HTML "<" par cette fonction (vous verrez "<" lors de la visualisation du code source), empêchant ainsi l'injection XSS et SQL. Les jeux de caractères non reconnus seront ignorés et remplacés par ISO-8859-1

htmlspecialchars()

Cette fonction est très similaire à celle ci-dessus. Certains caractères HTML ont des significations spéciales, si vous souhaitez refléter de telles significations, ils doivent être convertis en entités HTML. Cette fonction renverra la chaîne convertie.

strip_tags()

Cette fonction peut supprimer tout le HTML de la chaîne, JavaScript et les balises PHP, bien sûr, vous pouvez également ignorer le filtrage de certaines balises spécifiques en définissant le deuxième paramètre de cette fonction.

intval()

intval n'est pas réellement une fonction de filtrage pour convertir ; la variable en un type entier. C'est très utile lorsque nous avons besoin d'obtenir un paramètre entier. Vous pouvez utiliser cette fonction pour rendre votre code PHP plus sûr, en particulier lorsque vous analysez des données entières telles que l'identifiant et l'âge.

Ceci est un résumé de la façon dont PHP gère les caractères spéciaux dans les soumissions de formulaires, impliquant principalement l'utilisation conjointe de plusieurs fonctions telles que htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string Communiquons avec tout le monde.

1. Plusieurs fonctions PHP liées au traitement des caractères spéciaux

Apprentissage recommandé : "Tutoriel vidéo PHP"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

php JavaScript sql html xss NULL Cookie pdo 字符串整数类型数据库

Déclaration：

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn

Article précédent：Comment convertir la date php en millisecondes d'horodatageArticle suivant：Comment convertir la date php en millisecondes d'horodatage

Articles Liés

Voir plus

函数名	释义	介绍
htmlspecialchars	将与、单双引号、大于和小于号化成HTML格式	&转成& "转成" ' 转成' <转成< >转成>
htmlentities()	所有字符都转成HTML格式	除上面htmlspecialchars字符外，还包括双字节字符显示成编码等。

addslashes	单双引号、反斜线及NULL加上反斜线转义	被改的字符包括单引号(')、双引号(")、反斜线backslash () 以及空字符NULL。
stripslashes	去掉反斜线字符	去掉字符串中的反斜线字符。若是连续二个反斜线，则去掉一个，留下一个。若只有一个反斜线，就直接去掉。

quotemeta	加入引用符号	将字符串中含有. \ + * ? [ ^ ] ( $ ) 等字符的前面加入反斜线"" 符号。
nl2br()	将换行字符转成
strip_tags	去掉HTML及PHP标记	去掉字符串中任何HTML标记和PHP标记，包括标记封堵之间的内容。注意如果字符串HTML及PHP标签存在错误，也会返回错误。
mysql_real_escape_string	转义SQL字符串中的特殊字符	转义x00 n r 空格 ' " x1a，针对多字节字符处理很有效。mysql_real_escape_string会判断字符集，mysql_escape_string则不用考虑。