php-Escape-Funktionen umfassen: 1. Funktion „addslashes()“; 3. Funktion „htmlentities()“; 5. Funktion „strip_tags()“;
Die Betriebsumgebung dieses Tutorials: Windows 7-System, PHP-Version 7.1, DELL G3-Computer
1. addslashes
addslashes maskiert Sonderzeichen in SQL-Anweisungen, einschließlich (‘), (“), (), (NUL) vier Zeichen.
Diese Funktion wird verwendet, wenn das DBMS keine eigene Escape-Funktion hat. Es wird jedoch empfohlen, die Originalfunktion zu verwenden. MySQL verfügt beispielsweise über die Funktion mysql_real_escape_string, um SQL zu maskieren.
Beachten Sie, dass magic_quotes_gpc vor PHP5.3 standardmäßig aktiviert war, hauptsächlich in $GET, $POST, Führen Sie den Addslashes-Vorgang für $COOKIE aus, sodass Addslashes nicht wiederholt für diese Variablen aufgerufen werden muss, andernfalls wird der Wert verdoppelt entkommen.
Magic_quotes_gpc wurde jedoch in PHP5.3 aufgegeben und wurde seit PHP5.4 entfernt. Wenn Sie die neueste Version von PHP verwenden, müssen Sie sich über dieses Problem keine Sorgen machen. Stripslashes ist die Unescape-Funktion von Addslashes.
2.
htmlspecialchars
htmlspecialchars maskiert mehrere Sonderzeichen in HTML in HTML Entitätsformular (Format: &xxxx;), einschließlich (&), ('), ("), (<), (>) fünf Zeichen.
& (AND) => &
" (doppelte Anführungszeichen ) => " (Wenn ENT_NOQUOTES nicht gesetzt ist)
' (einfaches Anführungszeichen)
=> ' (wenn ENT_QUOTES gesetzt ist)
(Kleiner-als-Zeichen) =>
htmlspecialchars kann zum Filtern von $GET-, $POST- und $COOKIE-Daten verwendet werden, um XSS zu verhindern. Beachten Sie, dass die Funktion „htmlspecialchars“ nur HTML-Zeichen maskiert, bei denen ein Sicherheitsrisiko besteht. Wenn Sie alle Zeichen maskieren möchten, die in HTML maskiert werden können, verwenden Sie bitte htmlentities. htmlspecialchars_decode ist die Dekodierungsfunktion von htmlspecialchars.
3. htmlentities
htmlentities maskiert den escapbaren Inhalt in HTML in HTML Juristische Person. html_entity_decode ist die Dekodierungsfunktion von htmlentities.4. mysql_real_escape_string
mysql_real_escape_string ruft die MySQL-Bibliotheksfunktion mysql_real_escape_string auf, rechts (x00), (n), (r), (), (‘), (x1a) als Escapezeichen, das heißt, fügen Sie einen Backslash () voran, um eine SQL-Injection zu verhindern. Beachten Sie, dass Sie beim Lesen der Datenbankdaten keine Stripslashes aufrufen müssen, um die Escape-Funktion aufzuheben, da diese Backslashes hinzugefügt werden, wenn die Datenbank SQL ausführt, und die Backslashes entfernt werden, wenn die Daten in die Datenbank geschrieben werden, sodass der Inhalt in die Datenbank geschrieben wird sind die Originaldaten und es werden keine Backslashes davor stehen.5. strip_tags
strip_tags filtert NUL-, HTML- und PHP-Tags heraus. Empfohlenes Lernen: „PHP-Video-Tutorial“
Das obige ist der detaillierte Inhalt vonWas sind die PHP-Escape-Funktionen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!