php怎么过滤不安全字符串-PHP问题-PHP中文网

首页

后端开发

PHP问题

php怎么过滤不安全字符串

藏色散人

Jun 19, 2021 am 10:18 AM

php

php过滤不安全字符串的方法：1、通过mysql_real_escape_string函数对特殊的字符加上“反斜杠”；2、通过addslashes函数为特殊字符加上反斜杠；3、通过htmlentities函数过滤用户输入数据等等。

php怎么过滤不安全字符串

本文操作环境：windows7系统、PHP7.1版，DELL G3电脑

php怎么过滤不安全字符串？PHP中字符安全过滤函数使用小结

这篇文章主要简单介绍了PHP中字符安全过滤函数，对于防止sql注入攻击XSS攻击能非常有用，这里推荐给大家。

在WEB开发过程中，我们经常要获取来自于世界各地的用户输入的数据。但是，我们“永远都不能相信那些用户输入的数据”。所以在各种的Web开发语言中，都会提供保证用户输入数据安全的函数。在PHP中，有些非常有用并且方便的函数，它们可以帮助你防止出现像SQL注入攻击，XSS攻击等问题。

mysql_real_escape_string()

这个函数曾经对于在PHP中防止SQL注入攻击提供了很大的帮助，它对特殊的字符，像单引号和双引号，加上了“反斜杠”，确保用户的输入在用它去查询之前已经是安全的了。但你要注意你是在连接着数据库的情况下使用这个函数。
但现在mysql_real_escape_string()这个函数基本不用了，所有新的应用开发都应该使用像PDO这样的库对数据库进行操作，也就是说，我们可以使用现成的语句防止SQL注入攻击。

addslashes()

这个函数和上面的mysql_real_escape_string()很相似，同样是为特殊字符加上反斜杠，但要注意当设置文件php.ini中的 magic_quotes_gpc 的值为“on”时，不要使用这个函数。magic_quotes_gpc = on时，对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes()，因为这样会导致双层转义。你可以通过PHP中get_magic_quotes_gpc()函数检查这个变量的值。

3htmlentities()

这个函数对过滤用户输入数据非常有用，它可以把字符转换为 HTML 实体。比如，当用户输入字符“<”时，就会被该函数转化为HTML实体 “<”(查看源代码是将会看到“<”)，因此防止了XSS和SQL注入攻击，对于无法被识别的字符集将被忽略，并由 ISO-8859-1 代替

htmlspecialchars()

这个函数跟上面的很相似，HTML中的一些字符有着特殊的含义，如果要体现这样的含义，就要被转换为HTML实体，这个函数会返回转换后的字符串。

strip_tags()

这个函数可以去除字符串中所有的HTML，JavaScript和PHP标签，当然你也可以通过设置该函数的第二个参数，忽略过滤一些特定的标签。

intval()

intval其实不属于过滤的函数，它的作用是将变量转成整数类型。在我们需要得到一个整数的参数时非常有用，你可以用这个函数让你的PHP代码更安全，特别是当你在解析id，年龄这样的整数形数据时。

PHP关于表单提交特殊字符的处理方法做个汇总，主要涉及htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string等几个函数联合使用，与大家共同交流。
一、几个与特殊字符处理有关的PHP函数

推荐学习：《PHP视频教程》

以上是php怎么过滤不安全字符串的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

酸与基本数据库：差异和何时使用。Mar 26, 2025 pm 04:19 PM

本文比较了酸和基本数据库模型，详细介绍了它们的特征和适当的用例。酸优先确定数据完整性和一致性，适合财务和电子商务应用程序，而基础则侧重于可用性和

PHP安全文件上传：防止与文件相关的漏洞。Mar 26, 2025 pm 04:18 PM

本文讨论了确保PHP文件上传的确保，以防止诸如代码注入之类的漏洞。它专注于文件类型验证，安全存储和错误处理以增强应用程序安全性。

PHP输入验证：最佳实践。Mar 26, 2025 pm 04:17 PM

文章讨论了PHP输入验证以增强安全性的最佳实践，重点是使用内置功能，白名单方法和服务器端验证等技术。

PHP API率限制：实施策略。Mar 26, 2025 pm 04:16 PM

本文讨论了在PHP中实施API速率限制的策略，包括诸如令牌桶和漏水桶等算法，以及使用Symfony/Rate-limimiter之类的库。它还涵盖监视，动态调整速率限制和手

php密码哈希：password_hash和password_verify。Mar 26, 2025 pm 04:15 PM

本文讨论了使用password_hash和pyspasswify在PHP中使用密码的好处。主要论点是，这些功能通过自动盐，强大的哈希算法和SECH来增强密码保护

OWASP前10 php：描述并减轻常见漏洞。Mar 26, 2025 pm 04:13 PM

本文讨论了OWASP在PHP和缓解策略中的十大漏洞。关键问题包括注射，验证损坏和XSS，并提供用于监视和保护PHP应用程序的推荐工具。

PHP XSS预防：如何预防XSS。Mar 26, 2025 pm 04:12 PM

本文讨论了防止PHP中XSS攻击的策略，专注于输入消毒，输出编码以及使用安全增强的库和框架。

PHP接口与抽象类：何时使用。Mar 26, 2025 pm 04:11 PM

本文讨论了PHP中接口和抽象类的使用，重点是何时使用。界面定义了无实施的合同，适用于无关类和多重继承。摘要类提供常见功能

See all articles

热AI工具

Undresser.AI Undress

人工智能驱动的应用程序，用于创建逼真的裸体照片

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

免费脱衣服图片

Clothoff.io

AI脱衣机

AI Hentai Generator

免费生成ai无尽的。

显示更多

热工具

函数名	释义	介绍
htmlspecialchars	将与、单双引号、大于和小于号化成HTML格式	&转成& "转成" ' 转成' <转成< >转成>
htmlentities()	所有字符都转成HTML格式	除上面htmlspecialchars字符外，还包括双字节字符显示成编码等。

addslashes	单双引号、反斜线及NULL加上反斜线转义	被改的字符包括单引号(')、双引号(")、反斜线backslash (\) 以及空字符NULL。
stripslashes	去掉反斜线字符	去掉字符串中的反斜线字符。若是连续二个反斜线，则去掉一个，留下一个。若只有一个反斜线，就直接去掉。

quotemeta	加入引用符号	将字符串中含有. \\ + * ? [ ^ ] ( $ ) 等字符的前面加入反斜线"\" 符号。
nl2br()	将换行字符转成
strip_tags	去掉HTML及PHP标记	去掉字符串中任何HTML标记和PHP标记，包括标记封堵之间的内容。注意如果字符串HTML及PHP标签存在错误，也会返回错误。
mysql_real_escape_string	转义SQL字符串中的特殊字符	转义\x00 \n \r 空格 \ ' " \x1a，针对多字节字符处理很有效。mysql_real_escape_string会判断字符集，mysql_escape_string则不用考虑。

php怎么过滤不安全字符串

热AI工具

Undresser.AI Undress

AI Clothes Remover

Undress AI Tool

Clothoff.io

AI Hentai Generator

热门文章

热工具

SecLists

PhpStorm Mac 版本

适用于 Eclipse 的 SAP NetWeaver 服务器适配器

DVWA

SublimeText3 Mac版

热门话题