过滤输入htmlentities与htmlspecialchars用法

最新推荐文章于 2022-12-20 19:33:58 发布
最新推荐文章于 2022-12-20 19:33:58 发布
阅读量94 收藏
点赞数
文章标签: 数据库 php
原文链接:http://www.cnblogs.com/loveyouyou616/p/5444976.html
版权

  过滤输入 (即来自所列数据源中的任何数据)是指,转义或删除不安全的字符。在数据到达应用的存储层之前,一定要过滤输入数据。这是第一道防线。假如网站的评论表单接收html,默认情况下

访客可以毫无阻拦地在评论中加入恶意的<script>标签,如下标示:

<p>
    我的测试
</p>
<script>alert(123)</script>

  上面例子。如果不过滤这个评论,恶意代码会存入数据库,然后再网站的标记中渲染。

  HTML

  我们可以使用htmlentities或者htmlspecialchars函数来过滤html,把特殊字符转换成对应的html实体。

  htmlentities这个函数转换所有含有对应“html实体”的特殊字符,比如货币表示符号欧元英镑等、版权符号等,htmlspecialchars 只是把某些特殊的字符转义了, & " ' < >

  这2个函数比较傻,默认是不会转义单引号的

$str='<a href="test.html">\'测试页面\'</a><script>alert(213)</script>'; 

//并没有转义单引号
echo $str;
echo "<hr/>".PHP_EOL;
echo htmlentities($str);
echo "<hr/>".PHP_EOL;
echo htmlspecialchars($str);

  需要设置第2个参数 ENT_QUOTES,具体可以看php手册

echo htmlentities($str,ENT_QUOTES,'UTF-8'); //单引号也转义
echo "<hr/>".PHP_EOL;
echo htmlspecialchars($str,ENT_QUOTES,'UTF-8');//单引号也转义

 以上例子并不能区别出htmlentities和htmlspecialchars ,下面换上一些特殊的字符,如欧元等。htmlentities将会对此转义,htmlspecialchars却不会

echo htmlentities('€ <>"').PHP_EOL;
echo "<hr/>".PHP_EOL;
echo htmlspecialchars('€ <>"').PHP_EOL; //€没有转义

结论:做一般表单提交的时候完全可以用strip_tags去除html标签,如果涉及到富文本编辑器需要保留html标签,可以用htmlspecialchars对提交数据进行过滤。

更详细的总结参考:https://segmentfault.com/q/1010000004067521

转载于:https://www.cnblogs.com/loveyouyou616/p/5444976.html

weixin_30621959
关注
防止sql注入-PHP防SQL注入不要再用addslashes和htmlspecialchars()和addslashes()函数了
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-09 3万+
A、首先说说htmlspecialchars()和addslashes()函数吧: 在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经nul...
xss的htmlspecialchars绕过
囧思志
09-05 867
找啊找找啊找,在php源码中找到了 PHP_FUNCTION(htmlspecialchars) { php_html_entities(INTERNAL_FUNCTION_PARAM_PASSTHRU, 0); } 原来htmlspecialchars是调用php_html_entities这个函数的,顺带看了一下htmlentities PHP_FUNCTION(htm
php htmlentities导致中文无法查询
黄树茂博客
09-10 560
phphtmlspecialchars, 将特殊字元转成 HTML 格式,而htmlentities,将所有的字元都转成 HTML 字串 了,下面我来分别简单的介绍。   htmlentities用法     $str = "John &amp; 'Adams'";  echo htmlentities($str, ENT_COMPAT);  echo "  ";  echo htmle...
87.网络安全渗透测试—[常规漏洞挖掘与利用篇3]—[xss测试-10种绕过技巧]
qwsn
01-26 4887
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xss测试-10种绕过技巧 1、大小写绕过:`script标签一次匹配` 2、复写绕过(属性多余):`script大小写标签一次匹配` 3、转换标签绕过:`sciprt标签禁用` 4、转换方法绕过:alert方法禁用 5、手工闭合绕过:`既定的script标签` 6、手工闭合+单引号绕过:既定的scirpt标签+htmllentities默认参数 7、dom输出+hash属性+substring方法-弹窗: 8、ph
xss漏洞攻防
最新发布
mackilo的博客
12-20 9297
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
XSS编码绕过和防御
weixin_50464560的博客
05-07 1万+
第一部分:常用JS测试语句小结 1.0 常用测试语句说明 <script>alert(1)</script>        //这里alert(1)只是为了简单明了,当然可以弹出cookie.把1换成document.cookie即可.<script src=x οnerrοr=alert(1)></script>   //引入x,由于x不存在,触发onerror函数,进行弹框<script src='h
php过滤输入操作之htmlentitieshtmlspecialchars用法分析
10-20
在使用htmlentitieshtmlspecialchars函数时,可以通过指定额外的标志位来增强函数的过滤能力。例如,可以使用ENT_QUOTES标志位,它会同时转义双引号和单引号。这是因为某些情况下,如在HTML属性值中,双引号也需要...
浅谈htmlentitieshtmlspecialchars、addslashes的使用方法
12-19
本文将深入探讨四个常用的字符串处理函数:html_entity_decode()、htmlentities()、addslashes()和...在实际开发中,应结合其他安全策略,如过滤输入、验证数据和使用预处理语句,以构建更健壮的应用程序。
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?
qq_14989227的博客
07-26 1万+
作者:梧桐雨 链接:https://www.zhihu.com/question/27646993/answer/42865322 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1: 源码如下: <?php $name = $_GET["name"]; $name =
thinkphp3.2.3 去除url伪静态后缀
05-30
thinkphp3 1分钟告诉你如何去除url(就是类似网站的链接的htt....................htmlhtml)的后缀
html转义web安全,最佳实践系列(三)-- PHP 安全三板斧:过滤、验证和转义之过滤篇_html/css_WEB-ITnose...
weixin_28823431的博客
06-27 193
我们在开发应用时,一般有个约定:不要信任任何来自不受自己控制的数据源中的数据。例如以下这些外部源: $_GET$_POST$_REQUEST$_COOKIE$argvphp://stdinphp://inputfile_get_contents()远程数据库远程API来自客户端的数据所有这些外部源都可能是攻击媒介,可能会(有意或无意)把恶意数据注入PHP脚本。编写接收用户输入然后渲染输出的P...
XSS学习笔记
weixin_33675507的博客
03-22 221
XSS基础知识 略 XSS的防护 最简单的咯,str_replace(),例如: str_replace('<script>', '', $name) 但是,这也太好绕过了。。 PHP String 函数 实例 把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体: <?php $str = "This is some &...
htmlspecialchars定义和用法
aimder的博客
08-09 1107
htmlspecialchars 定义和用法 htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ’ (单引号)成为 ’ < (小于)成为 < > (大于)成为 > ...
对字符串进行HTML转义:htmlspecialchars与htmlentities
热门推荐
PHP Professional
04-05 3万+
<br />html语言也有一些特殊字符,这些字符不会直接显示到浏览器当中,而作为解析内容的标记,这些字符包括:<br />单引号('),双引号("),左尖括号(<),右尖括号(>),与(&)<br /> <br />如果我们要直接向浏览器输入这些符号,通常使用一种被称作HTML转义的语法,这些语法暗示着,接下来的字符完全是浏览器应当显示的内容,而不是内容解析标记,对应上述符号,分别是:<br />'"<>& <br /> <br />因此,使用htmlspecial
htmlentities() 函数
冷月醉雪的博客
04-29 2363
查看更多 https://www.yuque.com/docs/share/935c8db5-be45-40b1-b994-fbae77ac567e
thinkphp中的特殊字符处理
SLsuifengyaobai的专栏
06-01 5103
根据最近项目整理 -- 有些特殊字符的存储展示会有问题,解决方案如下: 字符编码: " 经过ThinkPHP的I 转换为 " < > > & & 如果用 模板变量直接引用则可以还原,但是用js赋值则不能。js还原函数: function restore_str_js(str){ var str =  str.replace('"','"')
关于htmlentitieshtmlspecialchars、addslashes的使用
~~~~~~常思~~~~~
01-14 5714
1、html_entity_decode():把html实体转换为字符。 Eg:$str = "just atest & 'learn to use '"; echo html_entity_decode($str); echo ""; echo html_entity_decode($str,ENT_QUOTES); echo ""; echo html_
htmlspecialchars() 函数的用法过滤XSS的问题
滴水石穿
08-31 6048
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,char...
ThinkPHP3.1 输入过滤与图像目标检测技术
"《ThinkPHP3.1 完全开发手册》是一份详细的教程,讲述了在ThinkPHP3.1框架中进行输入过滤、表单数据合法性检测等关键安全措施,以确保Web应用的安全性。手册强调了不相信客户端提交的数据,推荐开启令牌验证防止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值