ホームページ >バックエンド開発 >PHPチュートリアル >PHPの文字セキュリティフィルタリング機能とは何ですか?

PHPの文字セキュリティフィルタリング機能とは何ですか?

WBOY
WBOYオリジナル
2016-07-25 08:51:441008ブラウズ
PHP の文字セキュリティ フィルタリング関数の完全なリスト。SQL インジェクション攻撃と XSS 攻撃を防ぐために PHP で使用される一般的な関数 (mysql_real_escape_string()、addlashes()、htmlentities()、htmlspecialchars()、strip_tags() およびその他の関数を含む)。 SQL インジェクション攻撃、XSS 攻撃などの問題を防ぐための

php 関数。

1.mysql_real_escape_string() この関数は、かつては PHP での SQL インジェクション攻撃を防ぐのに非常に役立ちました。一重引用符や二重引用符などの特殊文字に「バックスラッシュ」を追加して、クエリを実行する前にユーザーの入力が確実に使用されるようにします。ただし、この機能はデータベースに接続しているときに使用することに注意してください。 しかし現在では、mysql_real_escape_string() 関数は基本的に必要なくなりました。つまり、新しいアプリケーション開発では、データベースを操作するために PDO などのライブラリを使用する必要があります。つまり、既製のステートメントを使用して SQL インジェクション攻撃を防ぐことができます。

2. ラッシュを追加します() この関数は上記の mysql_real_escape_string() とよく似ていますが、特殊文字にバックスラッシュを追加しますが、設定ファイル php.ini の magic_quotes_gpc の値が「on」の場合はこの関数を使用しないように注意してください。 magic_quotes_gpc = on の場合、すべての GET、POST、COOKIE データに対して addslashes() が自動的に実行されます。 magic_quotes_gpc によってエスケープされた文字列に対して addslashes() を使用しないでください。二重エスケープが発生するためです。

この変数の値は、php の get_magic_quotes_gpc() 関数を通じて確認できます。

3.htmlentities() この関数は、文字を HTML エンティティに変換することにより、ユーザー入力データをフィルタリングするのに役立ちます。たとえば、ユーザーが文字「

4.htmlspecialchars() この関数は上記と非常によく似ています。HTML の一部の文字には特別な意味があり、そのような意味を反映するには、それらを HTML エンティティに変換する必要があります。

5.strip_tags() この関数は、文字列からすべての HTML、JavaScript、および PHP タグを削除できます。もちろん、関数の 2 番目のパラメーターを設定することで、一部の特定のタグのフィルタリングを無視することもできます。

6. 間隔() Intval は実際にはフィルタリング関数ではなく、変数を整数型に変換することを目的としています。 整数パラメータを取得する必要がある場合、特に ID や年齢などの整数データを解析する場合、この関数を使用して PHP コードをより安全にすることができます。



声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。