首頁 > 後端開發 > php教程 > php中如何進行字元過濾

php中如何進行字元過濾

WBOY
發布: 2016-08-08 09:33:25
原創
2251 人瀏覽過

php中如何進行字元過濾

與PHP字串轉義相關的配置與函數如下: 
1.magic_quotes_runtime 
2.magic_quotes_gpc 
3.addslashes()和stripslashes() 
4.mysql_escape_string() 
5.addcslashes()和stripcslashes() 
6.htmlentities() 和html_entity_decode() 
7.htmlspecialchars()和htmlspecialchars_decode() 

當magic_quotes_runtime開啟時,php的大部分函數自動的給從外部引入的(包括資料庫或檔案)資料中的溢出字元加上反斜線。 
可以使用set_magic_quotes_runtime()與get_magic_quotes_runtime()?來設定和偵測其狀態。 
注意:PHP5.3.0以上的版本已將這兩個函數廢棄,也就說在PHP5.3.0或以上版本時該選項已經為關閉了。 

magic_quotes_gpc設定是否會自動為GPC(GET,POST,COOKIE)傳來的資料中的某些字元進行轉義, 
可以使用get_magic_quotes_gpc()檢測其設定。 
如果沒有開啟這項設置,可以使用addslashes()函數新增至字串進行轉義 

addslashes()? 在指定的預定義字元前面加上反斜線。 
預定義字元包括單引號(')、雙引號(")、反斜線()與 NUL(NULL 字元)。 
以上是W3SCHOOL.COM.CN給的解釋俺一直覺的不是很準確 
因為在magic_quotes_sybase=on時它將單引號(')轉換成雙引號(") 在magic_quotes_sybase=off時才將單引號(')轉換成(') 
stripslashes()函數的函數與addslashes()?正好相反,它的功能是去除轉義的效果。 

mysql_escape_string() 轉義 SQL語句中使用的字串中的特殊字元。 ? 
這裡的特殊包括(x00)、( n)、( r )、()、( ')、 (")、( x1a) 

addcslashes()?以C 語言風格使用反斜線轉義字串中的字符,這個函數很少人去用,但是應該注意的是:當選擇對字符0,a,b,f,n,r, t 和v 進行轉義時,它們將被轉換成
htmlentities() 將字元轉換為 HTML 實體。 (什麼是HTML實體?自己GOOGLE吧~~) 
具體參數請見這裡,其逆反的函數html_entity_decode() -?把 HTML 實體轉換成字元。 

htmlspecialchars()函數把一些預先定義的字元轉換為 HTML 實體。 
這些預先定義的字元是: 
& (和號) 成為 & 
" (雙引號) 成為 " 
' (單引號) 成為 ' 
> (大於) 成為 > 
?詳細參數請見這裡,其逆反函數是htmlspecialchars_decode() 把一些預先定義的 HTML 實體轉換為字元。 

一點自己的體會: 
>>多次的單引號轉義可能引起資料庫的安全問題 
>> 不建議使用mysql_escape_string 來進行轉義,建議在取得使用者輸入時候進行轉義 
>> 由於set_magic_quotes_runtime()?在PHP5.3.0和以後版本已被廢棄了, 所以之前的版本建議統一配置關閉: 


複製程式碼程式碼如下:

if(phpversion() set_magic_quotes_runtime(0); 

?>> 無法透過函數來定義magic_quotes_gpc,因此建議在伺服器上統一開啟,寫程式的時候應該在來判斷下,避免沒開啟GPC造成安全問題 
透過addslashes對GPC進行時間轉義時,應注意當使用者提交數組資料時對鍵值和值的過濾 


複製程式碼程式碼如下:

if(!get_magic_quotes_gpc()) { 
$_GET = daddslashes($_GET); 
$_POST = daddslashes($_POST); 
$_COOKIE = daddslashes($_COOKIE); 
$_FILES = daddslashes($_FILES); 

function daddslashes($string, $force = 1) { 
if(is_array($string)) { 
foreach($string as $key => $val) { 
unset($string[$key]); 
$string[addslashes($key)] = daddslashes($val, $force); 

} else { 
$string = addslashes($string); 

return $string; 


?>> 利用在使用者輸入或輸出時候轉義HTML實體以防止XSS漏洞的產生!

今天碰到一個處理文件特殊字元的事情,再次注意到這個問題,在php中: 

* 以單引號為定界符的php字串,支援兩個轉義'和\ 
* 以雙引號為定界符的php字串,支援下列轉義: 
    n 換行(LF 或 ASCII 字元 0x0A(10))  
    r 回車(CR 或 ASCII 字元 0x0D(13))  
    t 水平製表符(HT 或 ASCII 字元 0x09(9))  
    \ 反斜線  
    $ 美元符號  
    " 雙引號  
    [0-7]{1,3}               此正則表達式序列與一個以八進位符號表示的字元   
    x[0-9A-Fa-f]{1,2}  此正規表示式序列符合一個以十六進位符號表示的字元   

舉幾個例子: 

一個包含
$str = "ffff echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 

輸出結果: 
---------------------- 


        102     102     102     102     0   102 

替換特殊字元的例子 

$str = "ffff $str = str_replace("x0", "", $str);   
//或用$str = str_replace(" //或用$str = str_replace(chr(0), "", $str);  
echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 
輸出結果: 
---------------------- 

        102     102     102     102     102  

八進位ascii碼範例: 

//注意,符合正規[0-7]{1,3}的字串,表示一個八進位的ascii碼。 
$str = " echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 
輸出結果: 
---------------------- 
11 
        0       1       2       3      0       56      92      56 

十六進位ascii碼範例: 

$str = "x0x1x2x3x7x8x9x10x11xff"; 
echo(strlen($str)); 
echo("n"); 
for($i=0;$i echo("n"); 
輸出結果: 

以上就介紹了php中如何進行字元過濾,包含了php字元過濾的內容,希望對PHP教學有興趣的朋友有幫助。


相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板