Apakah Penggantian Terbaik untuk Pemalar PHP FILTER_SANITIZE_STRING dan FILTER_SANITIZE_STRIPPED yang Dihentikan?

Memahami Notis Susut Nilai: FILTER_SANITIZE_STRING yang berterusan ditamatkan

Dalam PHP 8.1, FILTER_SANITIZE_STRING dan FILTER_PPED_STRING yang berterusan telah ditamatkan. Ini menimbulkan persoalan: apakah penggantian yang sesuai untuk pemalar ini?

Rasional Susut Nilai

Penapis ini tidak tepat dalam tujuannya dan boleh menyebabkan kekeliruan. Kefungsian mereka sering disalah anggap sebagai penapis rentetan lalai, FILTER_UNSAFE_RAW. Akibatnya, komuniti PHP telah menghentikan penggunaannya.

Pilihan Penggantian

Terdapat beberapa pilihan yang tersedia untuk menggantikan FILTER_SANITIZE_STRING dan FILTER_SANITIZE_STRIPPED:

• FILTER_UNSAFE_RAW: Penapis ini tidak menggunakan penapisan dan boleh digunakan jika tiada sanitasi khusus diperlukan.
• htmlspecialchars(): Gunakan fungsi ini untuk melindungi daripada kelemahan XSS dengan pengekodan output, dan bukannya membersihkan input.
• Polyfill Regex Tersuai: Untuk kes di mana kefungsian khusus diperlukan, polyfill regex boleh dibuat untuk meniru gelagat penapis yang ditamatkan:

function filter_string_polyfill(string $string): string
{
    $str = preg_replace('/\x00|<[^>]*>?/', '', $string);
    return str_replace([&quot;'&quot;, '&quot;'], ['&amp;#39;', '&amp;#34;'], $str);
}

Amalan Terbaik: Output Melarikan diri

Adalah penting untuk diingat bahawa input pembersihan tidak berkesan dalam mencegah risiko keselamatan. Sebaliknya, fokus pada melepaskan keluaran untuk melindungi daripada kelemahan XSS. Ini memastikan bahawa output adalah selamat tanpa mengira sebarang input berniat jahat yang mungkin telah diterima.

Atas ialah kandungan terperinci Apakah Penggantian Terbaik untuk Pemalar PHP FILTER_SANITIZE_STRING dan FILTER_SANITIZE_STRIPPED yang Dihentikan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!