php mysql轉義函數有哪些

藏色散人
發布: 2023-03-12 15:42:01
原創
2815 人瀏覽過

php mysql轉義函數有:1、addslashes函數;2、htmlspecialchars函數;3、htmlentities函數;4、mysql_real_escape_string函數等等。

php mysql轉義函數有哪些

本文操作環境:Windows7系統、PHP7.1版,Dell G3電腦

php mysql轉義函數有哪些?

php mysql 轉義函數

#在開發sql查詢小工具時,遇到了POST 提交sql語句去後台查詢資料時,後端接受到帶有< 或> 時的sql語句時,報語法錯誤。

但是把提交的語句印出來,又沒有問題。想想肯定是編碼 或轉義 問題所至。

$sqlQuery = html_entity_decode($_POST["content"]);
$sqlQuery = stripslashes($sqlQuery);[object Object]
登入後複製

下面主要介紹了PHP中常用的轉義函數、安全函數,使用這些函數可以過濾大部份常見的攻擊手段,如SQL注入,需要的朋友可以參考下

1. addslashes addslashes對SQL語句中的特殊字符進行轉義操作,包括('), (“), (), (NUL)四個字符,此函數在DBMS沒有自己的轉義函數時候使用,但是如果DBMS有自己的轉義函數,那麼建議使用原廠函數,例如MySQL有mysql_real_escape_string函數用來轉義SQL。注意在PHP5.3之前,magic_quotes_gpc是預設開啟的,其主要是在$GET, $POST, $ COOKIE上執行addslashes操作,所以不需要在這些變數上重複呼叫addslashes,否則會double escaping的。不過magic_quotes_gpc在PHP5.3就已經被廢棄,從PHP5.4開始就已經被移除了,如果使用PHP最新版本可以不用擔心這個問題。stripslashes為addslashes的unescape函數。

2. htmlspecialchars htmlspecialchars把HTML中的幾個特殊字元轉義成HTML Entity(格式:&xxxx;)形式,包括(&), ('),(“),()五個字元。

& (AND) => &
” (双引号) => " (当ENT_NOQUOTES没有设置的时候)
‘ (单引号) => &#39; (当ENT_QUOTES设置)
< (小于号) => <
> (大于号) => >
登入後複製

htmlspecialchars可以用來過濾$GET,$POST,$COOKIE數據,預防XSS。注意htmlspecialchars函數只是把認為有安全隱患的HTML字元進行轉義,如果想要把HTML所有可以轉義的字元都進行轉義的話請使用htmlentities。 htmlspecialchars_decode為htmlspecialchars的decode函數。

3. htmlentities

htmlentities把HTML中可以轉義的內容轉義成HTML Entity。 html_entity_decode為htmlentities的decode函數。

4. mysql_real_escape_string

mysql_real_escape_string會呼叫MySQL的函式庫函數mysql_real_escape_string,對(\x00), (\n), (\r), (), ('), (\x1a )進行轉義,即在前面加上反斜線(),預防SQL注入。注意你不需要在讀取資料庫資料的時候呼叫stripslashes來進行unescape,因為這些反斜杠是在資料庫執行SQL的時候添加的,當把資料寫入到資料庫的時候反斜線會被移除,所以寫入資料庫的內容就是原始數據,並不會在前面多了反斜線。

5. strip_tagsstrip_tags會過濾掉NUL,HTML和PHP的標籤。

6.stripslashes()

函數刪除 addslashes() 函數所新增的反斜線。

7. 結語PHP自帶的安全函數並不能完全避免XSS,建議使用HTML Purifier

推薦學習:《PHP影片教學

以上是php mysql轉義函數有哪些的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板