Une brève description de la fonction de filtrage de sécurité des caractères en PHP
墨辰丷
Libérer: 2023-03-31 21:04:02
original
1723 Les gens l'ont consulté
Cet article présente principalement brièvement la fonction de filtrage de sécurité des caractères en PHP, qui est très utile pour prévenir les attaques par injection SQL et les attaques XSS. Elle est recommandée à tout le monde ici.
Lors du processus de développement WEB, nous avons souvent besoin d'obtenir des données saisies par des utilisateurs du monde entier. Cependant, nous « ne pouvons jamais faire confiance aux données saisies par les utilisateurs ». Par conséquent, dans divers langages de développement Web, des fonctions sont fournies pour assurer la sécurité des données saisies par l'utilisateur. En PHP, il existe des fonctions très utiles et pratiques qui peuvent vous aider à prévenir des problèmes tels que les attaques par injection SQL, les attaques XSS, etc.
1. mysql_real_escape_string()
Cette fonction a autrefois été d'une grande aide pour prévenir les attaques par injection SQL en PHP. Elle utilise des caractères spéciaux comme des guillemets simples et des guillemets doubles, plus un. "barre oblique inverse" pour garantir que la saisie de l'utilisateur est sécurisée avant de l'utiliser pour interroger. Mais vous devez noter que vous utilisez cette fonction lorsque vous êtes connecté à la base de données. Mais maintenant, la fonction mysql_real_escape_string() n'est fondamentalement plus nécessaire. Tout nouveau développement d'applications devrait utiliser des bibliothèques comme PDO pour faire fonctionner la base de données. En d'autres termes, nous pouvons utiliser des instructions prêtes à l'emploi pour empêcher les attaques par injection SQL.
2. addlashes()
Cette fonction est très similaire à mysql_real_escape_string() ci-dessus. Elle ajoute également des barres obliques inverses aux caractères spéciaux, mais soyez prudent lors de la définition de Ne pas utiliser. cette fonction lorsque la valeur de magic_quotes_gpc dans le fichier php.ini est "on". Lorsque magic_quotes_gpc = on, exécute automatiquement addlashes() sur toutes les données GET, POST et COOKIE. N'utilisez pas addlashes() sur les chaînes qui ont été échappées par magic_quotes_gpc, car cela entraînerait un double échappement. Vous pouvez vérifier la valeur de cette variable via la fonction get_magic_quotes_gpc() en PHP.
3. htmlentities()
Cette fonction est très utile pour filtrer les données saisies par l'utilisateur. Elle peut convertir des caractères en entités HTML. Par exemple, lorsque l'utilisateur saisit le caractère "<", celui-ci sera converti en entité HTML "<" par cette fonction (vous verrez "<" lors de la visualisation du code source), empêchant ainsi l'injection XSS et SQL. Les jeux de caractères non reconnus seront ignorés et remplacés par ISO-8859-1
4. htmlspecialchars()
Cette fonction est très similaire à celle ci-dessus, HTML Some. les caractères ont une signification particulière. Si vous souhaitez refléter de telles significations, ils doivent être convertis en entités HTML. Cette fonction renverra la chaîne convertie.
5. strip_tags()
Cette fonction peut supprimer toutes les balises HTML, JavaScript et PHP de la chaîne. Bien sûr, vous pouvez également définir la deuxième fonction de celle-ci. paramètre, ignorez le filtrage de certaines balises spécifiques.
6. intval()
intval n'est pas réellement une fonction de filtrage. Sa fonction est de convertir des variables en types entiers. C'est très utile lorsque nous avons besoin d'obtenir un paramètre entier. Vous pouvez utiliser cette fonction pour rendre votre code PHP plus sûr, en particulier lorsque vous analysez des données entières telles que l'identifiant et l'âge.
Ceci est un résumé de la façon dont PHP gère les caractères spéciaux dans les soumissions de formulaires. Cela implique principalement l'utilisation conjointe de plusieurs fonctions telles que htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string. Communiquons avec tout le monde. 1. Plusieurs fonctions PHP liées au traitement des caractères spéciaux
Nom de la fonction
Explication
Introduction
htmlspecialchars
Convertir et, guillemets simples et doubles, les signes supérieur et inférieur à au format HTML
转义x00 n r 空格 ' " x1a,针对多字节字符处理很有效。mysql_real_escape_string会判断字符集,mysql_escape_string则不用考虑。
"Convertir"
' 'Convertir en'
>Convertir>
htmlentities()
Tous les caractères sont convertis au format HTML
À l'exception des caractères htmlspecialchars ci-dessus, également inclut des caractères à deux octets affichés sous forme d'encodages, etc.
barres obliques supplémentaires
Guillemets simples et doubles, barre oblique inverse et NULL plus échappement barre oblique inverse
Les caractères modifiés incluent le guillemet simple ('), le guillemet double ("), la barre oblique inverse () et le caractère nul NULL .
stripslashes
Supprimer les caractères de barre oblique inverse
Supprimer deux caractères de barre oblique inverse consécutifs dans la chaîne. S'il n'y a qu'une seule barre oblique, supprimez-en une et laissez-en une.
quotemeta
Ajouter des symboles de citation
Contient des caractères tels que \ + * ? [ ^ ] ( $ ) dans la chaîne. Ajoutez un symbole de barre oblique inverse "" devant
nl2br()
Convertissez le caractère de nouvelle ligne en
strip_tags
Supprimez HTML et PHP. balises
Supprimez toutes les balises HTML et PHP de la chaîne, y compris le contenu entre les blocs de balises. Notez que s'il y a des erreurs dans les balises HTML et PHP de la chaîne, des erreurs seront également renvoyées
<.>
mysql_real_escape_string
Échapper les caractères spéciaux dans les chaînes SQL
Échapper x00 n r space ' " x1a, ce qui est très efficace pour le traitement des caractères multi-octets. mysql_real_escape_string déterminera le jeu de caractères, mais mysql_escape_string n'a pas besoin d'être pris en compte.
Ce sont les fonctions de filtrage de chaînes intégrées à PHP, qui sont très simples et pratiques. J'espère que mes amis pourront en faire bon usage.
Résumé : Ce qui précède est l'intégralité du contenu de cet article, j'espère qu'il sera utile à l'étude de chacun.
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
