PHP 이스케이프는 어떻게 구현됩니까?
- PHPz원래의
- 2023-04-05 14:34:46439검색
Escape란 프로그램 내에서 특수문자를 기계가 인식할 수 있는 형태로 변환하는 것을 말합니다. PHP에는 이러한 이스케이프도 존재합니다. PHP 이스케이프는 문자 앞에 백슬래시 ""를 추가하여 수행됩니다. 예를 들어, 큰따옴표(")를 이스케이프하려면 다음과 같이 쓸 수 있습니다:
echo "She said \"Hello\"";
이 내용은 화면에 다음과 같이 출력됩니다: She Said "Hello".
PHP에는 이스케이프해야 하는 문자가 많이 있습니다. 아래에 나열됨 몇 가지 일반적인 이스케이프해야 하는 문자 및 해당 이스케이프 문자:
| 이스케이프해야 하는 문자 | 이스케이프 문자 |
|---|---|
| 작은따옴표 | ' |
| 큰따옴표 | " |
| 백슬래시 | |
| 줄 바꿈 | n |
| 캐리지 리턴 | r |
| 가로 탭 | t |
이스케이프되지 않은 경우, 구문 오류나 프로그램 오류가 발생합니다.
데이터베이스를 사용할 때 이스케이프도 필요합니다. 이스케이프하지 않으면 사용자가 데이터베이스에 악성 코드를 삽입하여 시스템이 공격받을 수 있습니다. PHP는 이스케이프를 위한 두 가지 함수인 mysqli_real_escape_string()과 addlashes()를 제공합니다.
mysqli_real_escape_string() 함수는 PHP에서 제공하는 MySQL 이스케이프 함수이며 호환성이 좋고 여러 문자 집합을 지원합니다. addlashes() 함수는 PHP에 내장된 함수입니다. 이스케이프 문자는 고정되어 있으며 문자 집합 ISO-8859-1이 있는 문자열만 지원합니다.
다음은 mysqli_real_escape_string() 함수를 사용하는 예입니다:
$mysqli = new mysqli("localhost", "username", "password", "database");
if ($mysqli->connect_errno) {
echo "Failed to connect to MySQL: " . $mysqli->connect_error;
exit();
}
$name = mysqli_real_escape_string($mysqli, $_POST['name']);
$email = mysqli_real_escape_string($mysqli, $_POST['email']);
$message = mysqli_real_escape_string($mysqli, $_POST['message']);
$query = "INSERT INTO messages (name, email, message) VALUES ('$name', '$email', '$message')";
$result = $mysqli->query($query);
if ($result === TRUE) {
echo "Message sent successfully";
} else {
echo "Error: " . $mysqli->error;
}
$mysqli->close();
위의 예에서는 SQL 주입 공격을 피하기 위해 사용자가 입력한 이름, 이메일 및 메시지를 이스케이프하기 위해 mysqli_real_escape_string() 함수를 사용합니다.
MySQL 외에도 다른 데이터베이스도 이스케이프해야 합니다. 데이터베이스마다 다른 탈출 방법이 있으므로 특정 상황에 따라 적절한 탈출 기능을 선택해야 합니다.
요약하자면, 이스케이프는 안전한 PHP 프로그램을 작성하는 데 중요한 부분이므로 주의해서 사용해야 합니다. 문자를 출력하거나 데이터베이스에 데이터를 삽입할 때 이스케이프가 필요합니다. 이스케이프 문자 누락을 방지하려면 이스케이프에 mysqli_real_escape_string() 함수를 사용하는 것이 좋습니다.
위 내용은 PHP 이스케이프는 어떻게 구현됩니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!