PHPの文字エスケープに関する関数のまとめ。安全上の理由から、ユーザーが入力した文字列をエスケープする必要がある場合があります。
記事内に間違っている点や不明瞭な点がありますので、ご指摘ください~~~
PHP 文字列のエスケープに関連するものは次のとおりです:
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes() およびstripslashes()
4.mysql_escape_string()
5.addcslashes() およびstripcslashes()
6。 htmlentities() と html_entity_decode()
7.htmlspecialchars() と htmlspecialchars_decode()
magic_quotes_runtime がオンになっている場合、php のほとんどの関数は外部からインポートされたデータ (データベースやファイルを含む) を自動的に追加します オーバーフローにバックスラッシュを追加しますキャラクター。
set_magic_quotes_runtime() と get_magic_quotes_runtime() を使用してステータスを設定および検出できます。 注: これら 2 つの関数は PHP 5.3.0 以降では廃止されました。つまり、このオプションは PHP 5.3.0 以降ではオフになっています。
magic_quotes_gpc は、GPC によって送信されるデータ (GET、POST、COOKIE) 内の特定の文字を自動的にエスケープするかどうかを設定します。
get_magic_quotes_gpc
() を使用してその設定を検出できます。 この設定がオンになっていない場合は、addslashes() 関数を使用して文字列を追加およびエスケープできます
addslashes() 指定した定義済み文字の前にバックスラッシュを追加します。
定義済みの文字には、一重引用符 (')、二重引用符 (")、バックスラッシュ ()、および NUL (NULL 文字) が含まれます。
上記は W3SCHOOL.COM.CN による説明です。正確です
なぜなら、magic_quotes_sybase=on の場合、一重引用符 (') を二重引用符 (") に変換します。 magic_quotes_sybase=off の場合、一重引用符 (') を (') に変換します。
stripslashes() 関数の関数は、次の関数とまったく逆です。 addedlashes() 、その機能はエスケープ効果を削除することです。
mysql_escape_string() は、SQL ステートメントで使用される文字列内の特殊文字をエスケープします。
ここでの特別なものには、(x00)、(n)、(r)、()、( ')、(")、(x1a) が含まれます
addcslashes() C 言語形式でバックスラッシュでエスケープされた文字列を使用します の文字、これこの関数が使用されることはほとんどありませんが、文字 0、a、b、f、n、r、t、v をエスケープすることを選択すると、それらは次のように変換されます。
if(!get_magic_quotes_gpc()) { $_GET = daddslashes($_GET); $_POST = daddslashes($_POST); $_COOKIE = daddslashes($_COOKIE); $_FILES = daddslashes($_FILES); } function daddslashes($string, $force = 1) { if(is_array($string)) { foreach($string as $key => $val) { unset($string[$key]); $string[addslashes($key)] = daddslashes($val, $force); } } else { $string = addslashes($string); } return $string; }
>> 利用在用户输入或输出时候转义HTML实体以防止XSS漏洞的产生!
今天碰到一个处理文件特殊字符的事情,再次注意到这个问题,在php中:
* 以单引号为定界符的php字符串,支持两个转义\'和\\
* 以双引号为定界符的php字符串,支持下列转义:
\n 换行(LF 或 ASCII 字符 0x0A(10))
\r 回车(CR 或 ASCII 字符 0x0D(13))
\t 水平制表符(HT 或 ASCII 字符 0x09(9))
\\ 反斜线
\$ 美元符号
\" 双引号
\[0-7]{1,3} 此正则表达式序列匹配一个用八进制符号表示的字符
\x[0-9A-Fa-f]{1,2} 此正则表达式序列匹配一个用十六进制符号表示的字符
举几个例子:
一个包含\0特殊字符的例子:
$str = "ffff\0ffff"; echo(strlen($str)); echo("\n"); for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); echo("\n");
输出结果:
----------------------
9
102 102 102 102 0 102 102 102 102
替换特殊字符的例子
$str = "ffff\0ffff"; $str = str_replace("\x0", "", $str); //或者用$str = str_replace("\0", "", $str); //或者用$str = str_replace(chr(0), "", $str); echo(strlen($str)); echo("\n"); for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); echo("\n"); 输出结果:
----------------------
8
102 102 102 102 102 102 102 102
八进制ascii码例子:
//注意,符合正则\[0-7]{1,3}的字符串,表示一个八进制的ascii码。 $str = "\0\01\02\3\7\10\011\08\8"; //这里的\8不符合要求,被修正为"\\8" (ascii为92和56) echo(strlen($str)); echo("\n"); for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); echo("\n");
输出结果:
----------------------
11
0 1 2 3 7 8 9 0 56 92 56
十六进制ascii码例子:
$str = "\x0\x1\x2\x3\x7\x8\x9\x10\x11\xff"; echo(strlen($str)); echo("\n"); for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i})); echo("\n");
输出结果:
----------------------
10
0 1 2 3 7 8 9 16 17 255
以上がPHP 文字列エスケープ関連関数の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。