php轉義函數有:1、addslashes()函數;2、htmlspecialchars()函數;3、htmlentities()函數;4、mysql_real_escape_string()函數;5、strip_tags()函數。
本教學操作環境:windows7系統、PHP7.1版,DELL G3電腦
1. addslashes
addslashes對SQL語句中的特殊字元進行轉義操作,包括('), (“), (), (NUL)四個字元。
此函數在DBMS沒有自己的轉義函數時候使用,但如果DBMS有自己的轉義函數,那麼建議使用原始函數,例如MySQL有mysql_real_escape_string函數用來轉義SQL。
注意在PHP5.3之前,magic_quotes_gpc是預設開啟的,其主要是在$GET, $POST, $COOKIE上執行addslashes操作,所以不需要在這些變數上重複呼叫addslashes,否則會double escaping的。
不過magic_quotes_gpc在PHP5.3就已經被廢棄,從PHP5.4開始就已經被移除了,如果使用PHP最新版本可以不用擔心這個問題。 stripslashes為addslashes的unescape函數。
2.
htmlspecialchars
htmlspecialchars把HTML中的幾個特殊字元轉義成HTML Entity(格式:&xxxx;)形式,包括(&),('),(“),(<),(>)五個字元。
& (AND) => &
” (雙引號) => " (當ENT_NOQUOTES沒有設定的時候)
' (單引號)
=> ' (當ENT_QUOTES設定)
< (小於號) => <
> (大於號碼) => >
htmlspecialchars可以用來過濾$GET,$POST,$COOKIE數據,預防XSS。注意htmlspecialchars函數只是把認為有安全隱患的HTML字元進行轉義,如果想要把HTML所有可以轉義的字元都進行轉義的話請使用htmlentities。 htmlspecialchars_decode為htmlspecialchars的decode函數。
3. htmlentities
htmlentities把HTML中可以轉義的內容轉義成HTML Entity。 html_entity_decode為htmlentities的decode函數。
4. mysql_real_escape_string
mysql_real_escape_string會呼叫MySQL的函式庫函數mysql_real_escape_string,對(\x00), (\n), (\r), (), (‘), (\x1a)進行轉義,即在前面加上反斜線(),預防SQL注入。注意你不需要在讀取資料庫資料的時候呼叫stripslashes來進行unescape,因為這些反斜杠是在資料庫執行SQL的時候添加的,當把資料寫入到資料庫的時候反斜線會被移除,所以寫入資料庫的內容就是原始數據,並不會在前面多了反斜線。
5. strip_tags
strip_tags會過濾掉NUL,HTML和PHP的標籤。
推薦學習:《PHP影片教學》
以上是php轉義函數有哪些的詳細內容。更多資訊請關注PHP中文網其他相關文章!