PHP常用轉義字元函數-php教程-PHP中文網

首頁

後端開發

php教程

PHP常用轉義字元函數

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 25, 2016 am 08:54 AM

本文介绍下PHP中常用的字符转义函数、安全函数，用这些函数可以过滤大部份常见的攻击手段,如SQL注入等。

本节内容： php转义字符函数用法。

1. addslashes addslashes对SQL语句中的特殊字符进行转义操作，包括(‘), (“), (), (NUL)四个字符，此函数在DBMS没有自己的转义函数时候使用，但是如果DBMS有自己的转义函数，那么推荐使用原装函数，比如MySQL有mysql_real_escape_string函数用来转义SQL。注意在PHP5.3之前，magic_quotes_gpc是默认开启的，其主要是在$GET, $POST, $COOKIE上执行addslashes操作，所以不需要在这些变量上重复调用addslashes，否则会double escaping的。不过magic_quotes_gpc在PHP5.3就已经被废弃，从PHP5.4开始就已经被移除了，如果使用PHP最新版本可以不用担心这个问题。stripslashes为addslashes的unescape函数。

2. htmlspecialchars htmlspecialchars把HTML中的几个特殊字符转义成HTML Entity(格式：&xxxx;)形式，包括(&),(‘),(“),()五个字符。 & (AND) => & ” (双引号) => " (当ENT_NOQUOTES没有设置的时候) ‘ (单引号) => ' (当ENT_QUOTES设置) (大于号) => > htmlspecialchars可以用来过滤$GET，$POST，$COOKIE数据，预防XSS。注意htmlspecialchars函数只是把认为有安全隐患的HTML字符进行转义，如果想要把HTML所有可以转义的字符都进行转义的话请使用htmlentities。htmlspecialchars_decode为htmlspecialchars的decode函数。

3. htmlentities htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的decode函数。

4. mysql_real_escape_string mysql_real_escape_string会调用MySQL的库函数mysql_real_escape_string，对(x00), (n), (r), (), (‘), (x1a)进行转义，即在前面添加反斜杠()，预防SQL注入。注意你不需要在读取数据库数据的时候调用stripslashes来进行unescape，因为这些反斜杠是在数据库执行SQL的时候添加的，当把数据写入到数据库的时候反斜杠会被移除，所以写入到数据库的内容就是原始数据，并不会在前面多了反斜杠。

5. strip_tags strip_tags会过滤掉NUL，HTML和PHP的标签。

6. 结语 PHP自带的安全函数并不能完全避免XSS，推荐使用HTML Purifier。

PHP 转义使用详解

php中数据的魔法引用函数 magic_quotes_gpc 或 magic_quotes_runtime 设置为on时，为我们引用的数据碰到单引号' 和双引号" 以及反斜线时自动加上反斜线，帮我们自动转译符号，确保数据操作的正确运行两者的区别： magic_quotes_gpc 作用范围是：WEB客户服务端；作用时间：请求开始是，例如当脚本运行时。 magic_quotes_runtime 作用范围：从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的；作用时间：每次当脚本访问运行状态中产生的数据。可以看出 magic_quotes_gpc的设定值将会影响通过Get/Post/Cookies获得的数据 magic_quotes_runtime的设定值将会影响从文件中读取的数据或从数据库查询得到的数据几个想关联的函数： set_magic_quotes_runtime(): 设置magic_quotes_runtime值. 0=关闭.1=打开.默认状态是关闭的.可以通过 echo phpinfo(); 查看magic_quotes_runtime get_magic_quotes_gpc(): 查看magic_quotes_gpc值.0=关闭.1=打开 get_magic_quotes_runtime(): 查看magic_quotes_runtime值。0=关闭.1=打开. 注意的是没有 set_magic_quotes_gpc()这个函数,就是不能在程序里面设置magic_quotes_gpc的值。由于两个值的设置问题，会给编程时造成部分混淆或者会多加一次转义，针对这种情况，需要在程序开始的时候进行设置和判断，或者默认配置这两个值都关闭。转义部分通过程序来执行。保证数据插入数据时正常通常会使用 addslashes 这个来处理，数据读出时多用 stripslashes 来去掉加的反斜杠 php中类似的字符转换的函数

addslashes 指定的预定义字符前添加反斜杠 stripslashes 删除由 addslashes() 函数添加的反斜杠 htmlspecialchars 把一些预定义的字符转换为 HTML 实体 htmlspecialchars_decode 把一些预定义的 HTML 实体转换为字符 html_entity_decode() 把 HTML 实体转换为字符 htmlentities() 把字符转换为 HTML 实体

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

11個最佳PHP URL縮短腳本（免費和高級）Mar 03, 2025 am 10:49 AM

長URL（通常用關鍵字和跟踪參數都混亂）可以阻止訪問者。 URL縮短腳本提供了解決方案，創建了簡潔的鏈接，非常適合社交媒體和其他平台。這些腳本對於單個網站很有價值

Instagram API簡介Mar 02, 2025 am 09:32 AM

在Facebook在2012年通過Facebook備受矚目的收購之後，Instagram採用了兩套API供第三方使用。這些是Instagram Graph API和Instagram Basic Display API。作為開發人員建立一個需要信息的應用程序

在Laravel中使用Flash會話數據Mar 12, 2025 pm 05:08 PM

Laravel使用其直觀的閃存方法簡化了處理臨時會話數據。這非常適合在您的應用程序中顯示簡短的消息，警報或通知。默認情況下，數據僅針對後續請求： $請求 -

構建具有Laravel後端的React應用程序：第2部分，ReactMar 04, 2025 am 09:33 AM

這是有關用Laravel後端構建React應用程序的系列的第二個也是最後一部分。在該系列的第一部分中，我們使用Laravel為基本的產品上市應用程序創建了一個RESTFUL API。在本教程中，我們將成為開發人員

簡化的HTTP響應在Laravel測試中模擬了Mar 12, 2025 pm 05:09 PM

Laravel 提供简洁的 HTTP 响应模拟语法，简化了 HTTP 交互测试。这种方法显著减少了代码冗余，同时使您的测试模拟更直观。基本实现提供了多种响应类型快捷方式： use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>