php中如何進行字元過濾

php中如何進行字元過濾

與PHP字串轉義相關的配置與函數如下： 
1.magic_quotes_runtime 
2.magic_quotes_gpc 
3.addslashes()和stripslashes() 
4.mysql_escape_string() 
5.addcslashes()和stripcslashes() 
6.htmlentities() 和html_entity_decode() 
7.htmlspecialchars()和htmlspecialchars_decode() 

當magic_quotes_runtime開啟時，php的大部分函數自動的給從外部引入的(包括資料庫或檔案)資料中的溢出字元加上反斜線。 
可以使用set_magic_quotes_runtime()與get_magic_quotes_runtime()?來設定和偵測其狀態。 
注意：PHP5.3.0以上的版本已將這兩個函數廢棄，也就說在PHP5.3.0或以上版本時該選項已經為關閉了。 
? 
magic_quotes_gpc設定是否會自動為GPC(GET,POST,COOKIE)傳來的資料中的某些字元進行轉義， 
可以使用get_magic_quotes_gpc()檢測其設定。 
如果沒有開啟這項設置，可以使用addslashes()函數新增至字串進行轉義 

addslashes()? 在指定的預定義字元前面加上反斜線。 
預定義字元包括單引號（'）、雙引號（"）、反斜線（）與 NUL（NULL 字元）。 
以上是W3SCHOOL.COM.CN給的解釋俺一直覺的不是很準確 
因為在magic_quotes_sybase=on時它將單引號（'）轉換成雙引號(") 在magic_quotes_sybase=off時才將單引號(')轉換成(') 
stripslashes()函數的函數與addslashes()?正好相反，它的功能是去除轉義的效果。 

mysql_escape_string() 轉義 SQL語句中使用的字串中的特殊字元。 ? 
這裡的特殊包括（x00）、（ n）、（ r ）、（）、（ '）、 （"）、（ x1a） 

addcslashes()?以C 語言風格使用反斜線轉義字串中的字符，這個函數很少人去用，但是應該注意的是：當選擇對字符0，a，b，f，n，r， t 和v 進行轉義時，它們將被轉換成
htmlentities() 將字元轉換為 HTML 實體。 （什麼是HTML實體？自己GOOGLE吧～～） 
具體參數請見這裡，其逆反的函數html_entity_decode() -?把 HTML 實體轉換成字元。 

htmlspecialchars()函數把一些預先定義的字元轉換為 HTML 實體。 
這些預先定義的字元是： 
& （和號） 成為 & 
" （雙引號） 成為 " 
' （單引號） 成為 ' 
> （大於） 成為 > 
?詳細參數請見這裡，其逆反函數是htmlspecialchars_decode() 把一些預先定義的 HTML 實體轉換為字元。 

一點自己的體會： 
>>多次的單引號轉義可能引起資料庫的安全問題 
>> 不建議使用mysql_escape_string 來進行轉義，建議在取得使用者輸入時候進行轉義 
>> 由於set_magic_quotes_runtime()?在PHP5.3.0和以後版本已被廢棄了， 所以之前的版本建議統一配置關閉： 

複製程式碼程式碼如下:

if(phpversion() set_magic_quotes_runtime(0); 
} 

?>> 無法透過函數來定義magic_quotes_gpc,因此建議在伺服器上統一開啟，寫程式的時候應該在來判斷下，避免沒開啟GPC造成安全問題 
透過addslashes對GPC進行時間轉義時，應注意當使用者提交數組資料時對鍵值和值的過濾 

複製程式碼程式碼如下:

if(!get_magic_quotes_gpc()) { 
$_GET = daddslashes($_GET); 
$_POST = daddslashes($_POST); 
$_COOKIE = daddslashes($_COOKIE); 
$_FILES = daddslashes($_FILES); 
} 
function daddslashes($string, $force = 1) { 
if(is_array($string)) { 
foreach($string as $key => $val) { 
unset($string[$key]); 
$string[addslashes($key)] = daddslashes($val, $force); 
} 
} else { 
$string = addslashes($string); 
} 
return $string; 
} 

?>> 利用在使用者輸入或輸出時候轉義HTML實體以防止XSS漏洞的產生！

今天碰到一個處理文件特殊字元的事情，再次注意到這個問題，在php中： 

* 以單引號為定界符的php字串，支援兩個轉義'和\ 
* 以雙引號為定界符的php字串，支援下列轉義： 
    n 換行（LF 或 ASCII 字元 0x0A（10））  
    r 回車（CR 或 ASCII 字元 0x0D（13））  
    t 水平製表符（HT 或 ASCII 字元 0x09（9））  
    \ 反斜線  
    $ 美元符號  
    " 雙引號  
    [0-7]{1,3}               此正則表達式序列與一個以八進位符號表示的字元   
    x[0-9A-Fa-f]{1,2}  此正規表示式序列符合一個以十六進位符號表示的字元   

舉幾個例子: 

一個包含
$str = "ffff echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 

輸出結果： 
---------------------- 

9 
        102     102     102     102     0   102 

替換特殊字元的例子 

$str = "ffff $str = str_replace("x0", "", $str);   
//或用$str = str_replace(" //或用$str = str_replace(chr(0), "", $str);  
echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 
輸出結果： 
---------------------- 
8 
        102     102     102     102     102  

八進位ascii碼範例： 

//注意，符合正規[0-7]{1,3}的字串，表示一個八進位的ascii碼。 
$str = " echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 
輸出結果： 
---------------------- 
11 
        0       1       2       3      0       56      92      56 

十六進位ascii碼範例： 

$str = "x0x1x2x3x7x8x9x10x11xff"; 
echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 
輸出結果： 

以上就介紹了php中如何進行字元過濾，包含了php字元過濾的內容，希望對PHP教學有興趣的朋友有幫助。