더 이상 사용되지 않는 PHP FILTER_SANITIZE_STRING을 대체하는 가장 좋은 방법은 무엇입니까?

FILTER_SANITIZE_STRING 상수 지원 중단

PHP 8.1 릴리스부터 FILTER_SANITIZE_STRING 상수가 지원 중단되었습니다. 이는 이전에 문자열 입력을 삭제하기 위해 이 필터를 사용했던 개발자들 사이에서 우려를 불러일으켰습니다.

FILTER_SANITIZE_STRING이 더 이상 사용되지 않는 이유는 무엇입니까?

PHP 커뮤니티에 따르면 FILTER_SANITIZE_STRING은 불분명했습니다. 목적이 있어 혼란을 초래할 수 있습니다. 기능에 대한 명확한 설명을 제공하지 않고 임의의 콘텐츠를 제거했습니다. 또한 보다 효과적인 문자열 삭제 기술로 대체되었습니다.

무엇으로 대체할 수 있습니까?

더 이상 사용되지 않는 문자열을 대체할 수 있는 몇 가지 옵션이 있습니다. FILTER_SANITIZE_STRING:

• FILTER_UNSAFE_RAW: 이는 기본 문자열 필터이며 필터링을 제공하지 않습니다. 삭제를 원하지 않는 경우 사용할 수 있습니다.
• htmlspecialchars(): 이 함수는 XSS(교차 사이트 스크립팅) 취약점을 방지하기 위해 특수 문자를 인코딩합니다. 입력 데이터가 아닌 출력 데이터를 인코딩하는 데 사용해야 합니다.
• 사용자 정의 폴리필: FILTER_SANITIZE_STRING의 기능을 다시 만들어야 하는 경우 정규식을 사용하여 사용자 정의 폴리필을 생성할 수 있습니다.

예시 Polyfill

function filter_string_polyfill(string $string): string
{
    $str = preg_replace('/\x00|<[^>]*>?/', '', $string);
    return str_replace([&quot;'&quot;, '&quot;'], ['&amp;#39;', '&amp;#34;'], $str);
}

모범 사례: 출력 이스케이프

삭제 작업은 입력 데이터가 아닌 출력 데이터에 적용되어야 한다는 점을 강조하는 것이 중요합니다. 출력에서 특수 문자를 이스케이프 처리하면 악성 스크립트나 데이터가 애플리케이션에 영향을 미치는 것을 방지할 수 있습니다.

위 내용은 더 이상 사용되지 않는 PHP FILTER_SANITIZE_STRING을 대체하는 가장 좋은 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!