PHP에서 문자를 필터링하는 방법
PHP 문자열 이스케이프 관련 구성 및 기능은 다음과 같습니다.
1.magic_quotes_runtime
2.magic_quotes_gpc
3.슬래시() 및 스트립슬래시() 추가
4.mysql_escape_string()
5.addcslashes() 및 Stripcslashes()
6.htmlentities() 및 html_entity_decode()
7.htmlspecialchars() 및 htmlspecialchars_decode()
Magic_quotes_runtime이 켜져 있으면 대부분의 PHP 함수는 외부에서 가져온 데이터(데이터베이스 또는 파일 포함)의 오버플로 문자에 백슬래시를 자동으로 추가합니다.
set_magic_quotes_runtime() 및 get_magic_quotes_runtime()을 사용하여 상태를 설정하고 감지할 수 있습니다.
참고: 이 두 함수는 PHP 5.3.0 이상에서 더 이상 사용되지 않습니다. 즉, PHP 5.3.0 이상에서는 이 옵션이 꺼집니다.
?
Magic_quotes_gpc는 GPC(GET, POST, COOKIE)에서 전송되는 데이터의 특정 문자를 자동으로 이스케이프할지 여부를 설정합니다.
해당 설정은 get_magic_quotes_gpc()를 사용하여 감지할 수 있습니다.
이 설정이 켜져 있지 않으면 addlashes() 함수를 사용하여 문자열에 추가하여 이스케이프할 수 있습니다.
addlashes()? 지정된 사전 정의 문자 앞에 백슬래시를 추가합니다.
미리 정의된 문자에는 작은따옴표('), 큰따옴표("), 백슬래시() 및 NUL(NULL 문자)이 포함됩니다.
위 내용은 W3SCHOOL.COM.CN에서 제공한 설명으로, 그다지 정확하지 않다고 항상 느꼈습니다
Magic_quotes_sybase=on일 때 작은따옴표(')를 큰따옴표(")로 변환하기 때문입니다. Magic_quotes_sybase=off일 때 작은따옴표(')를 (')로 변환합니다.
Stripslashes() 함수의 기능은 addlashes()?와 정확히 반대입니다. 해당 기능은 이스케이프 효과를 제거하는 것입니다.
mysql_escape_string()은 SQL 문에 사용되는 문자열의 특수 문자를 이스케이프합니다. ?
여기서 특수한 것에는 (x00), (n), (r), (), ('), ("), (x1a)가 포함됩니다
addcslashes()?는 C 언어 스타일의 문자열에서 문자를 이스케이프하기 위해 백슬래시를 사용합니다. 이 함수는 사람들이 거의 사용하지 않지만 문자 0, a, b, f, n, r을 선택할 때 t 및 v라는 점에 유의해야 합니다. 이스케이프되면 다음으로 변환됩니다.
htmlentities() 문자를 HTML 엔터티로 변환합니다. (HTML 엔터티란 무엇인가요? 직접 구글링해 보세요~~)
특정 매개변수는 여기를 참조하세요. 역함수 html_entity_decode() -?는 HTML 엔터티를 문자로 변환합니다.
htmlspecialchars() 함수는 미리 정의된 일부 문자를 HTML 엔터티로 변환합니다.
사전 정의된 문자는 다음과 같습니다.
&(앰퍼샌드)는 &가 됩니다
"(큰따옴표)는 "
이 됩니다.
'(작은따옴표)는 '
이 됩니다.
이 됩니다.
>(보다 큼)
?자세한 매개변수는 여기를 참조하세요. 역함수는 미리 정의된 일부 HTML 엔터티를 문자로 변환하는 htmlspecialchars_decode()입니다.
약간의 내 경험:
>>여러 개의 작은따옴표 이스케이프는 데이터베이스 보안 문제를 일으킬 수 있습니다
>> 이스케이프에는 mysql_escape_string을 사용하지 않는 것이 좋습니다.
>> PHP5.3.0 이상 버전에서는 set_magic_quotes_runtime()?이 폐지되었으므로 이전 버전에서는 통합 구성에서 끄는 것이 좋습니다.
코드 복사코드는 다음과 같습니다.
if(phpversion() < '5.3.0') {
set_magic_quotes_runtime(0)
}
코드 복사코드는 다음과 같습니다.
if(!get_magic_quotes_gpc()) {
$_GET = 아빠슬래시($_GET)
$_POST = 아빠슬래시($_POST)
$_COOKIE = 아빠슬래시($_COOKIE)
$_FILES = 아빠슬래시($_FILES)
}
함수 Daddslashes($string, $force = 1) {
if(is_array($string)) {
foreach($string as $key => $val) {
unset($string[$key])
$string[addslashes($key)] = Daddslashes($val, $force)
}
} 다른 {
$string = addlashes($string)
}
$문자열 반환
}
?>> XSS 취약점을 방지하려면 사용자 입력 또는 출력 시 이스케이프 HTML 엔터티를 사용하세요!
오늘 저는 파일의 특수 문자를 다루는 문제를 발견했고 PHP에서 이 문제를 다시 발견했습니다.
* 작은따옴표를 구분 기호로 사용하는 PHP 문자열은 두 개의 이스케이프 ' 및 \
을 지원합니다.
* 큰따옴표로 구분된 PHP 문자열은 다음 이스케이프를 지원합니다:
n 라인 피드(LF 또는 ASCII 문자 0x0A (10))
r 캐리지 리턴(CR 또는 ASCII 문자 0x0D (13))
t 가로 탭 문자(HT 또는 ASCII 문자 0x09 (9))
\ 백슬래시
$ 달러 기호
" " 큰따옴표
[0-7]{1,3} 이 정규식 시퀀스는 8진수 표기법으로 표현된 문자와 일치합니다.
x[0-9A-Fa-f]{1,2} 이 정규식 시퀀스는 16진수 표기법으로 표현된 문자와 일치합니다.
다음은 몇 가지 예입니다.
하나는 포함
$str = "ffff
echo(strlen($str))
에코("n")
for($i=0;$i
출력 결과:
----------
9
102 102 102 102 0 102 102 102 102
특수문자 교체 예시
$str = "ffff
$str = str_replace("x0", "", $str)
//또는 $str = str_replace("를 사용합니다.
//또는 $str = str_replace(chr(0), "", $str)를 사용합니다.
echo(strlen($str))
에코("n")
for($i=0;$i
출력 결과:
----------
8
102 102 102 102 102 102 102 102
8진수 ASCII 코드 예:
//일반 패턴 [0-7]{1,3}을 따르는 문자열은 8진수 ASCII 코드를 나타냅니다.
$str = "
echo(strlen($str))
에코("n")
for($i=0;$i
출력 결과:
----------
11
0 1 2 3 7 8 9 0 0 56 92 56
16진수 ASCII 코드 예:
$str = "x0x1x2x3x7x8x9x10x11xff"
echo(strlen($str))
에코("n")
for($i=0;$i
출력 결과:
위 내용은 PHP 문자 필터링 내용을 포함하여 PHP에서 문자 필터링을 수행하는 방법을 소개하고 있으며, PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.