PHPで文字フィルタリングを実行する方法

phpで文字をフィルタリングする方法

PHPの文字列エスケープに関連する設定と機能は以下のとおりです:
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes() とtripslashes()
4.mysql_escape_string()
5.addcslashes()とstripcslashes()
6.htmlentities() と html_entity_decode()
7.htmlspecialchars() と htmlspecialchars_decode()

magic_quotes_runtime がオンになっている場合、ほとんどの PHP 関数は、外部からインポートされたデータ (データベースやファイルを含む) 内のオーバーフロー文字にバックスラッシュを自動的に追加します。
set_magic_quotes_runtime() と get_magic_quotes_runtime() を使用して、そのステータスを設定および検出できます。
注: これら 2 つの関数は PHP 5.3.0 以降では非推奨になりました。つまり、このオプションは PHP 5.3.0 以降ではオフになります。
?
magic_quotes_gpc は、GPC によって送信されるデータ内の特定の文字 (GET、POST、COOKIE) を自動的にエスケープするかどうかを設定します。 その設定は get_magic_quotes_gpc() を使用して検出できます。
この設定がオンになっていない場合は、addslashes() 関数を使用して文字列に追加してエスケープできます

addslashes()? 指定された定義済み文字の前にバックスラッシュを追加します。
事前定義された文字には、一重引用符 (')、二重引用符 (")、バックスラッシュ ()、および NUL (NULL 文字) が含まれます。 上記はW3SCHOOL.COM.CNの説明ですが、あまり正確ではないと常々感じていました
。 なぜなら、magic_quotes_sybase=on の場合は一重引用符 (') が二重引用符 (") に変換され、magic_quotes_sybase=off の場合は一重引用符 (') が (') に変換されるためです。 tripslashes() 関数の機能は、addslashes()? の逆であり、その機能はエスケープ効果を削除することです。

mysql_escape_string() は、SQL ステートメントで使用される文字列内の特殊文字をエスケープします。 ?
ここでの特別なものには、(x00)、(n)、(r)、()、(')、(")、(x1a) が含まれます

addcslashes()? は、C 言語スタイルで文字列内の文字をエスケープするためにバックスラッシュを使用しますが、文字 0、a、b、f、n、r を選択するとき、t および v を選択する場合に注意する必要があります。エスケープされ、に変換されます
htmlentities() 文字を HTML エンティティに変換します。 (HTML エンティティとは何ですか? 自分で Google で調べてください~~)
特定のパラメータについては、ここを参照してください。その逆関数 html_entity_decode() -? は HTML エンティティを文字に変換します。

htmlspecialchars() 関数は、いくつかの事前定義された文字を HTML エンティティに変換します。
これらの事前定義された文字は次のとおりです:
& (アンパサンド) は &
になります " (二重引用符) は " になります
' (一重引用符) は '
(より大きい) > ?詳細なパラメータについては、こちらを参照してください。逆関数は、事前定義された HTML エンティティを文字に変換する htmlspecialchars_decode() です。

私自身の経験を少し:
>>複数の一重引用符エスケープはデータベースのセキュリティ問題を引き起こす可能性があります
>> エスケープに mysql_escape_string を使用することは推奨されません。ユーザー入力を取得する場合はエスケープすることをお勧めします。 >> set_magic_quotes_runtime()? は PHP5.3.0 以降のバージョンでは廃止されたため、以前のバージョンでは統合設定で無効にすることをお勧めします。


コードをコピーします
コードは次のとおりです。


if(phpversion() set_magic_quotes_runtime(0); }

?>> Magic_quotes_gpc は関数を通じて定義できないため、GPC を開かないことによるセキュリティ問題を避けるために、サーバー上で一律に有効にするかどうかを判断する必要があります。 アッドスラッシュを使用して GPC をエスケープする場合、ユーザーが配列データを送信する際のキーと値のフィルタリングに注意を払う必要があります

コードをコピーします
コードは次のとおりです。

if(!get_magic_quotes_gpc()) {
$_GET = ダッドスラッシュ($_GET); $_POST = ダッドスラッシュ($_POST); $_COOKIE = ダッズラッシュ($_COOKIE)
$_FILES = ダッズラッシュ($_FILES); }
関数dadslashes($string, $force = 1) {
if(is_array($string)) {

foreach($string as $key => $val) { unset($string[$key]); $string[addslashes($key)] = ダッズラッシュ($val, $force); } } その他 {

$string = ラッシュを追加します

}
$string を返します。 }

?>> XSS の脆弱性を防ぐために、ユーザーの入力または出力時に HTML エンティティのエスケープを使用してください。

今日、ファイル内の特殊文字を扱う問題に遭遇し、php でこの問題に再度気づきました:

* 区切り文字として一重引用符を使用した PHP 文字列は、2 つのエスケープ ' と \ をサポートします
* 区切り文字として二重引用符を含む PHP 文字列は、次のエスケープをサポートします:
n 改行 (LF または ASCII 文字 0x0A (10))
r キャリッジリターン (CR または ASCII 文字 0x0D (13))
t 水平タブ文字 (HT または ASCII 文字 0x09 (9))
\ バックスラッシュ
$ドル記号
" "二重引用符
[0-7]{1,3} この正規表現シーケンスは、8 進数表記で表される文字と一致します
x[0-9A-Fa-f]{1,2} この正規表現シーケンスは、16 進表記で表される文字と一致します

以下にいくつかの例を示します:

1つは含まれています
$str = "ffff エコー(strlen($str)); エコー("n"); for($i=0;$i 出力結果:
------------------------

9
102 102 102 102 0 102 102 102 102

特殊文字の置換例

$str = "ffff $str = str_replace("x0", "", $str); //または $str = str_replace(" を使用します) //または $str = str_replace(chr(0), "", $str); を使用します。 エコー(strlen($str)); エコー("n"); for($i=0;$i ------------------------
8
102 102 102 102 102 102 102 102


8 進数の ASCII コードの例:

//規則的なパターン [0-7]{1,3} に準拠する文字列は 8 進数の ASCII コードを表すことに注意してください。
$str = " エコー(strlen($str)); エコー("n"); for($i=0;$i ------------------------
11
0 1 2 3 7 8 9 0 0 56 92 56

16 進数の ASCII コードの例:

$str = "x0x1x2x3x7x8x9x10x11xff"; エコー(strlen($str)); エコー("n"); for($i=0;$i
上記では、PHP 文字フィルタリングの内容を含め、PHP で文字フィルタリングを実行する方法を紹介しました。PHP チュートリアルに興味のある友人に役立つことを願っています。