已弃用的 PHP FILTER_SANITIZE_STRING 和 FILTER_SANITIZE_STRIPPED 常量的最佳替代品是什么？

了解折旧通知：常量 FILTER_SANITIZE_STRING 已弃用

在 PHP 8.1 中，常量 FILTER_SANITIZE_STRING 和 FILTER_SANITIZE_STRIPPED 已弃用。这就提出了一个问题：这些常量的合适替代品是什么？

折旧原理

这些过滤器的用途不精确，可能会导致混乱。它们的功能经常被误解为默认字符串过滤器 FILTER_UNSAFE_RAW。因此，PHP 社区已弃用它们的使用。

替换选项

有多个选项可用于替换 FILTER_SANITIZE_STRING 和FILTER_SANITIZE_STRIPPED:

• FILTER_UNSAFE_RAW:此过滤器不应用任何过滤，如果不需要特定的清理即可使用。
• htmlspecialchars(): 使用此功能通过对输出进行编码来防御 XSS 漏洞，而不是清理输入。
• 自定义正则表达式 Polyfill： 对于需要特定功能的情况，可以创建正则表达式 Polyfill 来复制已弃用过滤器的行为：

function filter_string_polyfill(string $string): string
{
    $str = preg_replace('/\x00|<[^>]*>?/', '', $string);
    return str_replace([&quot;'&quot;, '&quot;'], ['&amp;#39;', '&amp;#34;'], $str);
}

最佳实践：输出逃逸

请务必记住，清理输入并不能有效防止安全风险。相反，应重点关注转义输出以防止 XSS 漏洞。这可以确保输出是安全的，无论可能收到任何恶意输入。

以上是已弃用的 PHP FILTER_SANITIZE_STRING 和 FILTER_SANITIZE_STRIPPED 常量的最佳替代品是什么？的详细内容。更多信息请关注PHP中文网其他相关文章！