Récemment, alors que j'utilisais PHP pour développer un site Web, j'ai rencontré un problème : lorsque les données saisies par l'utilisateur étaient stockées dans un tableau, il était constaté que les caractères spéciaux dans les données n'étaient pas échappés, ce qui pouvait facilement conduire à vulnérabilités de sécurité.
Afin de résoudre ce problème, nous devons comprendre le mécanisme d'échappement automatique de PHP.
Le mécanisme d'échappement automatique en php est implémenté via l'option magic_quotes_gpc. Lorsque cette option est activée, PHP échappera automatiquement certains caractères spéciaux, tels que les guillemets simples, les guillemets doubles, les barres obliques inverses, etc., dans les entrées utilisateur et les données obtenues à partir de la base de données. Le but est d'éviter des problèmes de sécurité tels que l'injection SQL, mais cela entraînera également des échappements incorrects. Par exemple, lors du stockage de contenu en texte enrichi, les balises HTML et les styles CSS seront également échappés, ce qui entraînera un affichage anormal.
Afin de résoudre ce problème, nous pouvons échapper nous-mêmes aux données saisies par l'utilisateur en désactivant l'option magic_quotes_gpc. Cela peut éviter d'échapper au contenu inutile et protéger la sécurité des données.
Ce qui suit est un exemple de code simple qui montre comment l'échapper manuellement et le stocker dans un tableau :
//关闭magic_quotes_gpc选项 ini_set('magic_quotes_gpc', 'off'); //接收用户输入的数据 $username = addslashes($_POST['username']); $password = addslashes($_POST['password']); //存入数组 $user = array( 'username' => $username, 'password' => $password );
Dans le code ci-dessus, utilisez d'abord la fonction ini_set pour désactiver l'option magic_quotes_gpc, puis utilisez la fonction addlashes pour échapper au les données saisies par l'utilisateur, et enfin les données échappées sont stockées dans un tableau.
De plus, nous pouvons également utiliser la fonction htmlspecialchars pour échapper aux balises html afin de garantir que le contenu en texte riche peut être affiché correctement. Le code spécifique est le suivant :
//关闭magic_quotes_gpc选项 ini_set('magic_quotes_gpc', 'off'); //接收用户输入的数据 $content = $_POST['content']; //转义html标签 $content = htmlspecialchars($content, ENT_QUOTES); //存入数组 $data = array( 'content' => $content );
Pour résumer, le mécanisme d'échappement automatique en PHP peut être contrôlé en modifiant l'option magic_quotes_gpc De plus, les données peuvent également être échappées manuellement pour assurer la sécurité des données. Dans le développement réel, nous devons choisir des méthodes d'échappement appropriées en fonction de scénarios d'application spécifiques pour éviter les vulnérabilités de sécurité et les anomalies d'affichage.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!