首页 后端开发 php教程 PHP对表单提交特殊字符的过滤和处理_PHP教程

PHP对表单提交特殊字符的过滤和处理_PHP教程

Jul 13, 2016 pm 05:45 PM
php 修改 内容 博客 处理 字符 批量 提交 文章 表单 过滤

前天天缘把博客文章做过一次内容批量修改,由于在源程序存在BUG,导致很多路径或代码中的反斜杠被无辜去除,昨天通过bankw3000网友的留言才发现这个问题,已做了部分修正不排除还有些路径存在问题,如果大家发现博客上存在路径丢失反斜杠\的问题,欢迎留言反馈,天缘会再做修正。天缘本文特别把PHP关于表单提交特殊字符的处理方法做个汇总,主要涉及htmlspecialchars/addslashes/stripslashes/strip_tags/mysql_real_escape_string等几个函数联合使用,与大家共同交流。
一、几个与特殊字符处理有关的PHP函数

 

 函数名

 释义

 介绍

htmlspecialchars

将与、单双引号、大于和小于号化成HTML格式

&转成& 
"转成"
' 转成'

htmlentities()

所有字符都转成HTML格式

除上面htmlspecialchars字符外,还包括双字节字符显示成编码等。

 

 

 

addslashes

单双引号、反斜线及NULL加上反斜线转义

被改的字符包括单引号(')、双引号(")、反斜线backslash (\) 以及空字符NULL。

stripslashes

去掉反斜线字符

去掉字符串中的反斜线字符。若是连续二个反斜线,则去掉一个,留下一个。若只有一个反斜线,就直接去掉。

 

 

 

quotemeta

加入引用符号

将字符串中含有. \\ + * ? [ ^ ] ( $ ) 等字符的前面加入反斜线"\" 符号。

nl2br()

将换行字符转成

 

strip_tags

去掉HTML及PHP标记

去掉字符串中任何HTML标记和PHP标记,包括标记封堵之间的内容。注意如果字符串HTML及PHP标签存在错误,也会返回错误。

mysql_real_escape_string

转义SQL字符串中的特殊字符

转义\x00  \n  \r  空格  \  '  " \x1a,针对多字节字符处理很有效。mysql_real_escape_string会判断字符集,mysql_escape_string则不用考虑。

 

 

其它字符串处理函数,请参考:PHP常用字符串正则替换及 剖分函数比较。
下面针对常用表单特殊字符处理进行总结:
测试字符串:
1 $dbstr='D:\test
http://www.metsky.com,天缘博客
3 \'!=\'1\' OR \'1\'




PHP OUTPUT"; ?>';
测试代码:
01 header("Content-Type: text/html; charset=UTF-8");
02 echo "------------------------------------------------------
\r\n";
03 echo  $dbstr."
\r\n------------------------------------------------------
\r\n";
04 $str=fnAddSlashes($_POST['dd']);
05 echo $str."
\r\n------------------------------------------------------
\r\n";
06 
07 $str = preg_replace("/\s(?=\s)/","\\1",$str);//多个连续空格只保留一个
08 $str = str_replace("\r","
",$str);
09 $str = str_replace("\n","
",$str);
10 $str = preg_replace("/((
)+)/i", "
", $str);//多个连续
标签只保留一个
11 
12 $str=stripslashes($str);
13 echo strip_tags($str)."
\r\n------------------------------------------------------
\r\n";
14 echo htmlspecialchars($str)."
\r\n------------------------------------------------------
\r\n";
15 echo htmlentities($str)."
\r\n------------------------------------------------------
\r\n";
16 echo mysql_escape_string($str)."
\r\n------------------------------------------------------
\r\n";
字符串包含:反斜杠路径,单双引号,HTML标记、链接、未封堵的HTML标记,数据库语法容错,JS执行判断,PHP执行判断,多个连续回车换行符和空格。其中有些概念有包含关系,下同。
源码输出如下(会执行JS脚本):

PHP对表单提交特殊字符的过滤和处理_PHP教程

二、表单提交数据处理
1、强制加入反斜线
由于有些主机默认开启魔术引用get_magic_quotes_gpc,有些可能关闭,所以在程序上最好一律强制加入反斜线,这样可以统一处理,字符涉及单引号、双引号和反斜线。
1 function fnAddSlashes($data)
2 {
3     if(!get_magic_quotes_gpc()) //只对POST/GET/cookie过来的数据增加转义
4         return is_array($data)?array_map('addslashes',$data):addslashes($data);
5     else
6         return $data;
7 }
使用函数fnAddSlashes($data);结果如下图(不会执行JS脚本,但HTML、JS和PHP标记仍需容错处理):

PHP对表单提交特殊字符的过滤和处理_PHP教程

使用stripslashes、换行替换、空格替换后结果如下图:

PHP对表单提交特殊字符的过滤和处理_PHP教程

2、对特殊字符处理
以下是几个常用字符串处理,可以视具体情况取舍。由于上面已经对提交表单数据进行一次转义,所以如果需要对内容替换或过滤需要考虑addslashes对相关字符的影响,替换或查找时需考虑反斜杠的添加。其它字符替换不影响,比如\r\n替换。
A、多个连续空格只保留一个
$data = preg_replace("/\s(?=\s)/","\\1",$data );//多个连续空格只保留一个
B、回车换行替换成

$data = str_replace("\r","
",$data );
$data = str_replace("\n","
",$data );
//html中默认
没封堵,xhtml中
有封堵,建议使用
,更多区别:http://stackoverflow.com/questions/1946426/html-5-is-it-br-br-or-br
C、多个连续
只保留一个
$data = preg_replace("/((
)+)/i", "
", $data );//多个连续
标签只保留一个
 
D、全部过滤HTML标记
该方式是全部过滤潜在危险的标记,包括HTML、链接、未封堵HTML标记、JS、PHP。
使用函数strip_tags($data)
该函数使用后会过滤全部的HTML标记(包括链接)和PHP标记、JS代码等,其中链接会保留链接原文只是去除标记和href部分内容,PHP标记和JS标记则会整体去除,包括中间的内容,如下图:

PHP对表单提交特殊字符的过滤和处理_PHP教程

E、不过滤标记,只是把他们HTML化
该方法是把原提交内容全部按照普通文本来处理。
使用函数htmlspecialchars($data),该函数执行后会把提交数据全部按照普通文本来展示,如下图:

PHP对表单提交特殊字符的过滤和处理_PHP教程

使用htmlentities函数执行结果(中文显示乱码):

PHP对表单提交特殊字符的过滤和处理_PHP教程

三、写入数据库
由于使用addslashes($data)后对于高级的可信任用户可以直接写入数据库,但是addslashes无法拦截使用0xbf27代替的 单引号,所以最好还是使用mysql_real_escape_string或mysql_escape_string进行转义,不过转义之前需先去除反 斜杠(假设已默认开启addslashes)。
01 function fnEscapeStr($data)
02 
03 {
04 
05 if (get_magic_quotes_gpc())
06 {
07         $data= stripslashes($value);
08 }
09 $data="'". mysql_escape_string($value) ."'";
10 return $data;
11 }
12 
13 $data=fnEscapeStr($data);
执行后如下图:

PHP对表单提交特殊字符的过滤和处理_PHP教程

四、提交后的即时显示
1、如果上文使用了addslashes,则必须在把数据回显之前去除反斜线
使用函数stripslashes($data)
注意这个函 数只是面向被addslashes($data)处理后的数据,要谨慎使用,否则会导致反斜线丢失(比如内容的文件夹路径分割线、驱动器路径等),天缘前 几天出现的错误就是因为在数据库读取时使用了这个函数(代码是老代码,忘记修改了)导致再次写入数据库导致很多路径中的反斜杠丢失,要不也没有本文了。
2、使用函数htmlspecialchars($data),该函数执行后会把提交数据全部按照文本来展示,除非允许链接等需特殊处理外,可以一 律使用 htmlspecialchars输出,尤其是对于未封堵的HTML标记,如果既没有过滤再不采用标记转换,那么输出后可能会导致版面混乱。
htmlentities则不建议使用,一方面对输出的源码造成很大的阅读障碍,再者使用htmlentities函数会造成双字节字符比如中文会显示一堆乱码。其它字符显示还算正常。
第二种输出方法,视情况需要,如果确认没有非法标记或潜在的执行风险,可以直接输出。

www.bkjia.comtruehttp://www.bkjia.com/PHPjc/478662.htmlTechArticle前天天缘把博客文章做过一次内容批量修改,由于在源程序存在BUG,导致很多路径或代码中的反斜杠被无辜去除,昨天通过bankw3000网友的留...
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

Video Face Swap

Video Face Swap

使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

SublimeText3汉化版

中文版,非常好用

禅工作室 13.0.1

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

适用于 Ubuntu 和 Debian 的 PHP 8.4 安装和升级指南 适用于 Ubuntu 和 Debian 的 PHP 8.4 安装和升级指南 Dec 24, 2024 pm 04:42 PM

PHP 8.4 带来了多项新功能、安全性改进和性能改进,同时弃用和删除了大量功能。 本指南介绍了如何在 Ubuntu、Debian 或其衍生版本上安装 PHP 8.4 或升级到 PHP 8.4

我后悔之前不知道的 7 个 PHP 函数 我后悔之前不知道的 7 个 PHP 函数 Nov 13, 2024 am 09:42 AM

如果您是一位经验丰富的 PHP 开发人员,您可能会感觉您已经在那里并且已经完成了。您已经开发了大量的应用程序,调试了数百万行代码,并调整了一堆脚本来实现操作

如何设置 Visual Studio Code (VS Code) 进行 PHP 开发 如何设置 Visual Studio Code (VS Code) 进行 PHP 开发 Dec 20, 2024 am 11:31 AM

Visual Studio Code,也称为 VS Code,是一个免费的源代码编辑器 - 或集成开发环境 (IDE) - 可用于所有主要操作系统。 VS Code 拥有针对多种编程语言的大量扩展,可以轻松编写

在PHP API中说明JSON Web令牌(JWT)及其用例。 在PHP API中说明JSON Web令牌(JWT)及其用例。 Apr 05, 2025 am 12:04 AM

JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息,主要用于身份验证和信息交换。1.JWT由Header、Payload和Signature三部分组成。2.JWT的工作原理包括生成JWT、验证JWT和解析Payload三个步骤。3.在PHP中使用JWT进行身份验证时,可以生成和验证JWT,并在高级用法中包含用户角色和权限信息。4.常见错误包括签名验证失败、令牌过期和Payload过大,调试技巧包括使用调试工具和日志记录。5.性能优化和最佳实践包括使用合适的签名算法、合理设置有效期、

您如何在PHP中解析和处理HTML/XML? 您如何在PHP中解析和处理HTML/XML? Feb 07, 2025 am 11:57 AM

本教程演示了如何使用PHP有效地处理XML文档。 XML(可扩展的标记语言)是一种用于人类可读性和机器解析的多功能文本标记语言。它通常用于数据存储

php程序在字符串中计数元音 php程序在字符串中计数元音 Feb 07, 2025 pm 12:12 PM

字符串是由字符组成的序列,包括字母、数字和符号。本教程将学习如何使用不同的方法在PHP中计算给定字符串中元音的数量。英语中的元音是a、e、i、o、u,它们可以是大写或小写。 什么是元音? 元音是代表特定语音的字母字符。英语中共有五个元音,包括大写和小写: a, e, i, o, u 示例 1 输入:字符串 = "Tutorialspoint" 输出:6 解释 字符串 "Tutorialspoint" 中的元音是 u、o、i、a、o、i。总共有 6 个元

解释PHP中的晚期静态绑定(静态::)。 解释PHP中的晚期静态绑定(静态::)。 Apr 03, 2025 am 12:04 AM

静态绑定(static::)在PHP中实现晚期静态绑定(LSB),允许在静态上下文中引用调用类而非定义类。1)解析过程在运行时进行,2)在继承关系中向上查找调用类,3)可能带来性能开销。

什么是PHP魔术方法(__ -construct,__destruct,__call,__get,__ set等)并提供用例? 什么是PHP魔术方法(__ -construct,__destruct,__call,__get,__ set等)并提供用例? Apr 03, 2025 am 12:03 AM

PHP的魔法方法有哪些?PHP的魔法方法包括:1.\_\_construct,用于初始化对象;2.\_\_destruct,用于清理资源;3.\_\_call,处理不存在的方法调用;4.\_\_get,实现动态属性访问;5.\_\_set,实现动态属性设置。这些方法在特定情况下自动调用,提升代码的灵活性和效率。

See all articles