ホームページ  >  記事  >  バックエンド開発  >  PHP 文字列エスケープ関連関数

PHP 文字列エスケープ関連関数

怪我咯
怪我咯オリジナル
2017-07-07 10:19:261838ブラウズ

PHPの文字エスケープに関する関数のまとめ。安全上の理由から、ユーザーが入力した文字列をエスケープする必要がある場合があります。

記事内に間違っている点や不明瞭な点がありますので、ご指摘ください~~~

PHP 文字列のエスケープに関連するものは次のとおりです:
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes() およびstripslashes()
4.mysql_escape_string()
5.addcslashes() およびstripcslashes()
6。 htmlentities() と html_entity_decode()
7.htmlspecialchars() と htmlspecialchars_decode()

magic_quotes_runtime がオンになっている場合、php のほとんどの関数は外部からインポートされたデータ (データベースやファイルを含む) を自動的に追加します オーバーフローにバックスラッシュを追加しますキャラクター。
set_magic_quotes_runtime() と get_magic_quotes_runtime()‍ を使用してステータスを設定および検出できます。 注: これら 2 つの関数は PHP 5.3.0 以降では廃止されました。つまり、このオプションは PHP 5.3.0 以降ではオフになっています。

magic_quotes_gpc は、GPC によって送信されるデータ (GET、POST、COOKIE) 内の特定の文字を自動的にエスケープするかどうかを設定します。
get_magic_quotes_gpc
() を使用してその設定を検出できます。 この設定がオンになっていない場合は、addslashes() 関数を使用して文字列を追加およびエスケープできます
addslashes()‍ 指定した定義済み文字の前にバックスラッシュを追加します。
定義済みの文字には、一重引用符 (')、二重引用符 (")、バックスラッシュ ()、および NUL (NULL 文字) が含まれます。
上記は W3SCHOOL.COM.CN による説明です。正確です
なぜなら、magic_quotes_sybase=on の場合、一重引用符 (') を二重引用符 (") に変換します。 magic_quotes_sybase=off の場合、一重引用符 (') を (') に変換します。
stripslashes() 関数の関数は、次の関数とまったく逆です。 addedlashes()‍ 、その機能はエスケープ効果を削除することです。

mysql_escape_string() は、SQL ステートメントで使用される文字列内の特殊文字をエスケープします。 ‍
ここでの特別なものには、(x00)、(n)、(r)、()、( ')、(")、(x1a) が含まれます

addcslashes()‍ C 言語形式でバックスラッシュでエスケープされた文字列を使用します の文字、これこの関数が使用されることはほとんどありませんが、文字 0、a、b、f、n、r、t、v をエスケープすることを選択すると、それらは次のように変換されます。

if(!get_magic_quotes_gpc()) { 
$_GET = daddslashes($_GET); 
$_POST = daddslashes($_POST); 
$_COOKIE = daddslashes($_COOKIE); 
$_FILES = daddslashes($_FILES); 
} 
function daddslashes($string, $force = 1) { 
if(is_array($string)) { 
foreach($string as $key => $val) { 
unset($string[$key]); 
$string[addslashes($key)] = daddslashes($val, $force); 
} 
} else { 
$string = addslashes($string); 
} 
return $string; 
}

‍>> 利用在用户输入或输出时候转义HTML实体以防止XSS漏洞的产生!

今天碰到一个处理文件特殊字符的事情,再次注意到这个问题,在php中:

* 以单引号为定界符的php字符串,支持两个转义\'和\\
* 以双引号为定界符的php字符串,支持下列转义:
    \n 换行(LF 或 ASCII 字符 0x0A(10)) 
    \r 回车(CR 或 ASCII 字符 0x0D(13)) 
    \t 水平制表符(HT 或 ASCII 字符 0x09(9)) 
    \\ 反斜线 
    \$ 美元符号 
    \" 双引号 
    \[0-7]{1,3}               此正则表达式序列匹配一个用八进制符号表示的字符  
    \x[0-9A-Fa-f]{1,2}  此正则表达式序列匹配一个用十六进制符号表示的字符  

举几个例子:

一个包含\0特殊字符的例子:

$str = "ffff\0ffff"; 
echo(strlen($str)); 
echo("\n"); 
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); 
echo("\n");

输出结果:
----------------------

9
        102     102     102     102     0       102     102     102     102

替换特殊字符的例子

$str = "ffff\0ffff"; 
$str = str_replace("\x0", "", $str);   
//或者用$str = str_replace("\0", "", $str);  
//或者用$str = str_replace(chr(0), "", $str);  
echo(strlen($str)); 
echo("\n"); 
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); 
echo("\n"); 
输出结果:

----------------------
8
        102     102     102     102     102     102     102     102

八进制ascii码例子:

//注意,符合正则\[0-7]{1,3}的字符串,表示一个八进制的ascii码。 
$str = "\0\01\02\3\7\10\011\08\8";  //这里的\8不符合要求,被修正为"\\8" (ascii为92和56) 
echo(strlen($str)); 
echo("\n"); 
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); 
echo("\n");

输出结果:
----------------------
11
        0       1       2       3       7       8       9       0       56      92      56

十六进制ascii码例子:

$str = "\x0\x1\x2\x3\x7\x8\x9\x10\x11\xff"; 
echo(strlen($str)); 
echo("\n"); 
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); 
echo("\n");

输出结果:
----------------------
10
        0       1       2       3       7       8       9       16      17      255

以上がPHP 文字列エスケープ関連関数の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。