phpで文字をフィルタリングする方法
PHPの文字列エスケープに関連する設定と機能は以下のとおりです:
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes() とtripslashes()
4.mysql_escape_string()
5.addcslashes()とstripcslashes()
6.htmlentities() と html_entity_decode()
7.htmlspecialchars() と htmlspecialchars_decode()
magic_quotes_runtime がオンになっている場合、ほとんどの PHP 関数は、外部からインポートされたデータ (データベースやファイルを含む) 内のオーバーフロー文字にバックスラッシュを自動的に追加します。
set_magic_quotes_runtime() と get_magic_quotes_runtime() を使用して、そのステータスを設定および検出できます。
注: これら 2 つの関数は PHP 5.3.0 以降では非推奨になりました。つまり、このオプションは PHP 5.3.0 以降ではオフになります。
?
magic_quotes_gpc は、GPC によって送信されるデータ内の特定の文字 (GET、POST、COOKIE) を自動的にエスケープするかどうかを設定します。
その設定は get_magic_quotes_gpc() を使用して検出できます。
この設定がオンになっていない場合は、addslashes() 関数を使用して文字列に追加してエスケープできます
addslashes()? 指定された定義済み文字の前にバックスラッシュを追加します。
事前定義された文字には、一重引用符 (')、二重引用符 (")、バックスラッシュ ()、および NUL (NULL 文字) が含まれます。
上記はW3SCHOOL.COM.CNの説明ですが、あまり正確ではないと常々感じていました
。
なぜなら、magic_quotes_sybase=on の場合は一重引用符 (') が二重引用符 (") に変換され、magic_quotes_sybase=off の場合は一重引用符 (') が (') に変換されるためです。
tripslashes() 関数の機能は、addslashes()? の逆であり、その機能はエスケープ効果を削除することです。
mysql_escape_string() は、SQL ステートメントで使用される文字列内の特殊文字をエスケープします。 ?
ここでの特別なものには、(x00)、(n)、(r)、()、(')、(")、(x1a) が含まれます
addcslashes()? は、C 言語スタイルで文字列内の文字をエスケープするためにバックスラッシュを使用しますが、文字 0、a、b、f、n、r を選択するとき、t および v を選択する場合に注意する必要があります。エスケープされ、に変換されます
htmlentities() 文字を HTML エンティティに変換します。 (HTML エンティティとは何ですか? 自分で Google で調べてください~~)
特定のパラメータについては、ここを参照してください。その逆関数 html_entity_decode() -? は HTML エンティティを文字に変換します。
htmlspecialchars() 関数は、いくつかの事前定義された文字を HTML エンティティに変換します。
これらの事前定義された文字は次のとおりです:
& (アンパサンド) は &
になります
" (二重引用符) は " になります
' (一重引用符) は '
< (未満) は <
> (より大きい) >
?詳細なパラメータについては、こちらを参照してください。逆関数は、事前定義された HTML エンティティを文字に変換する htmlspecialchars_decode() です。
私自身の経験を少し:
>>複数の一重引用符エスケープはデータベースのセキュリティ問題を引き起こす可能性があります
>> エスケープに mysql_escape_string を使用することは推奨されません。ユーザー入力を取得する場合はエスケープすることをお勧めします。
>> set_magic_quotes_runtime()? は PHP5.3.0 以降のバージョンでは廃止されたため、以前のバージョンでは統合設定で無効にすることをお勧めします。
コードをコピーします
コードは次のとおりです。
if(phpversion()
set_magic_quotes_runtime(0);
}
?>> Magic_quotes_gpc は関数を通じて定義できないため、GPC を開かないことによるセキュリティ問題を避けるために、サーバー上で一律に有効にするかどうかを判断する必要があります。 アッドスラッシュを使用して GPC をエスケープする場合、ユーザーが配列データを送信する際のキーと値のフィルタリングに注意を払う必要があります
コードをコピーします
コードは次のとおりです。
foreach($string as $key => $val) { unset($string[$key]); $string[addslashes($key)] = ダッズラッシュ($val, $force); } } その他 {
$string = ラッシュを追加します
}
$string を返します。
}
?>> XSS の脆弱性を防ぐために、ユーザーの入力または出力時に HTML エンティティのエスケープを使用してください。
今日、ファイル内の特殊文字を扱う問題に遭遇し、php でこの問題に再度気づきました:
* 区切り文字として一重引用符を使用した PHP 文字列は、2 つのエスケープ ' と \ をサポートします
* 区切り文字として二重引用符を含む PHP 文字列は、次のエスケープをサポートします:
n 改行 (LF または ASCII 文字 0x0A (10))
r キャリッジリターン (CR または ASCII 文字 0x0D (13))
t 水平タブ文字 (HT または ASCII 文字 0x09 (9))
\ バックスラッシュ
$ドル記号
" "二重引用符
[0-7]{1,3} この正規表現シーケンスは、8 進数表記で表される文字と一致します
x[0-9A-Fa-f]{1,2} この正規表現シーケンスは、16 進表記で表される文字と一致します
以下にいくつかの例を示します:
1つは含まれています
$str = "ffff
エコー(strlen($str));
エコー("n");
for($i=0;$i
------------------------
9
102 102 102 102 0 102 102 102 102
特殊文字の置換例
$str = "ffff
$str = str_replace("x0", "", $str);
//または $str = str_replace(" を使用します)
//または $str = str_replace(chr(0), "", $str); を使用します。
エコー(strlen($str));
エコー("n");
for($i=0;$i
8
102 102 102 102 102 102 102 102
8 進数の ASCII コードの例:
//規則的なパターン [0-7]{1,3} に準拠する文字列は 8 進数の ASCII コードを表すことに注意してください。
$str = "
エコー(strlen($str));
エコー("n");
for($i=0;$i
11
0 1 2 3 7 8 9 0 0 56 92 56
16 進数の ASCII コードの例:
$str = "x0x1x2x3x7x8x9x10x11xff";
エコー(strlen($str));
エコー("n");
for($i=0;$i
上記では、PHP 文字フィルタリングの内容を含め、PHP で文字フィルタリングを実行する方法を紹介しました。PHP チュートリアルに興味のある友人に役立つことを願っています。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
