PHP 函数 htmlspecialchars 使用心得

最新推荐文章于 2024-07-30 21:02:40 发布
最新推荐文章于 2024-07-30 21:02:40 发布
阅读量102 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/MyRobotDream/p/3480082.html
版权

  最近在工作中发现了一个有趣的问题,因为之前在使用 htmlspecialchars 函数对 单、双引号 等容易造成SQL注入的敏感字符进行处理时,都是直接将要处理的数据作为参数传入该函数即了事。因为之前从网络中众多blog以及各类在线手册(如 W3CSchool)中查询 htmlspecialchars 的特点时,大都会得到这么一个“结论”:htmlspecialchars 函数把一些预定义的字符转换为HTML实体,预定义的字符是:

    & (和号) 成为 &

    " (双引号) 成为 "

    ' (单引号) 成为 '

    < (小于) 成为 &lt;

    > (大于) 成为 &gt;

  然而在实际应用过程中,发现事实并非完全如此:如果仅向 htmlspecialchars 函数中传入第一个参数,也就是可能包含符合“预定义字符”的待处理字符串,则 htmlspecialchars 仅会处理 &、"、< 和 > ,而唯独不会处理 ' 单引号,感兴趣的朋友可以试验一下。

  查阅PHP手册后,发现上面赫然写着:

    The translations performed are:

      '&' (ampersand) becomes '&amp;'

      '"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set.

      "'" (single quote) becomes '&#039;' only when ENT_QUOTES is set.

      '<' (less than) becomes '&lt;'

      '>' (greater than) becomes '&gt;'

  也就是说,只有在调用 htmlspecialchars 函数时,主动传递了第二个参数,且是 ENT_QUOTES 时(第二个参数如没有传递,则默认是 ENT_COMPAT:Will convert double-quotes and leave single-quotes alone.),单引号才会被转义为HTML字符实体。

  顺便说一下,由于对PHP手册中参数含义的理解有误:ENT_QUOTES:Will convert both double and single quotes我对这个解释的理解是:当传入的第二个参数是 ENT_QUOTES 时,仅会转义双引号和单引号为HTML字符实体,而不会转义剩下的预定义字符 &、< 和 > )。其实,只需要传递第二个参数 ENT_QUOTES ,以 htmlspecialchars($str, ENT_QUOTES); 形式调用,即可转义全部预定义字符串。

转载于:https://www.cnblogs.com/MyRobotDream/p/3480082.html

weixin_30725315
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP htmlspecialchars() 函数实例代码及用法大全
10-18
`PHP htmlspecialchars()` 函数是一个非常重要的工具,用于在输出数据到HTML页面时防止跨站脚本(XSS)攻击。这个函数的主要作用是将特定的字符转换为HTML实体,确保它们在浏览器中显示为文本,而不会被解释为HTML或...
php的ent_quotes,phphtmlspecialchars&ENT_QUOTES不工作?
weixin_28973031的博客
03-18 400
你是如何准确测试它的?//sanitize data from db before displaying on webpagefunction htmlsan($htmlsanitize){return $htmlsanitize = htmlspecialchars($htmlsanitize, ENT_QUOTES, 'UTF-8');}var_dump(htmlsan('<>\'...
XSS学习笔记
weixin_33675507的博客
03-22 217
XSS基础知识 略 XSS的防护 最简单的咯,str_replace(),例如: str_replace('<script>', '', $name) 但是,这也太好绕过了。。 PHP String 函数 实例 把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体: <?php $str = "This is some &...
phphtmlspecialchars()函数和addslashes()函数使用和区别
weixin_30651273的博客
02-13 493
在防止被注入攻击时,常会用到两个函数htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb'...
htmlspecialchars_decode($about,ENT_QUOTES)
smile
02-23 478
htmlspecialchars_decode($about,ENT_QUOTES) 可以将html源码转换成html的页面内容!
PHP htmlspecialchars()函数用法与实例讲解
10-17
今天小编就为大家分享一篇关于PHP htmlspecialchars()函数用法与实例讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
php htmlspecialchars加强版
10-29
- **PHP htmlspecialchars 加强版**:此标题表明文章将介绍一个针对 PHP 中原生 `htmlspecialchars` 函数的改进版本。这通常意味着该版本会提供额外的安全性或灵活性增强。 #### 描述详解 - **加强版 ...
PHP htmlspecialchars_decode()函数用法讲解
10-17
PHP编程语言中,`htmlspecialchars_decode()` 是一个非常实用的函数,它的主要作用是对字符串进行解码,将预先定义的HTML实体转换回它们的原始字符形式。这个函数常常用于处理用户输入的数据,确保在显示在网页上...
php一些公用函数的集合
10-30
需要注意的是,此函数依赖于MySQL扩展,对于现代PHP版本,建议使用PDO或MySQLi预处理语句来实现更安全的SQL查询。 ### 6. 字符串类型检查 - **getNums**: 用于检查字符串是否只包含英文字符或数字0-9。利用`ctype_...
php的html解析函数,php htmlspecialchars()与shtmlspecialchars()函数的深入分析
weixin_42400619的博客
03-10 163
本篇文章是对php中的htmlspecialchars()与shtmlspecialchars() 函数进行了详细的分析介绍,需要的朋友参考下定义和用法htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。预定义的字符是:•& (和号) 成为 &•" (双引号) 成为 "•' (单引号) 成为 '•< (小于) 成为 <•> (大于)...
PHP htmlspecialchars()的用法
小小黑
11-21 1662
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。这个函数的效果其实在浏览器中打开页面是看不到的,要查看源代码才能看到。& (和号) 成为 & ” (双引号) 成为 " ’ (单引号) 成为 ' < (小于) 成为 < > (大于) 成为 > htmlspecialchars(string,quotestyle,character-set) quotestyle:
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 700
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
53、PHP 实现归并排序
weixin_44010641的博客
07-30 210
【代码】53、PHP 实现归并排序。
WordPress原创插件:搜索引擎抓取首图seo图片
爱酷码的博客
07-29 374
WordPress原创插件:搜索引擎抓取首图seo图片。
PHP框架详解 - symfony框架
丁爸的博客
07-28 985
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
PHP一维数组怎么转关联数组
qq_32450471的博客
07-30 165
php是一门广泛应用于web开发的脚本语言。其强大的数组功能是其最重要的特征之一。在PHP中,数组是一个能够存储多个值的变量,并且这些值可以是任何类型的数据,比如整数、浮点数、字符串、布尔值、对象等等。此外,数组还可以分为索引数组和关联数组。本文主要介绍PHP中一维数组转关联数组的方法。
Laravel 魔法:请求和响应宏的深度解析
2401_85762266的博客
07-30 332
要为Request类定义宏,你可以使用Macroable特性,这是Laravel提供的一个方便的方法,允许任何类使用宏。});在上面的代码中,我们为Request类添加了一个名为userRole的宏,它将返回当前认证用户的角色。定义响应宏的过程与请求宏类似,你同样需要使用Macroable特性。if (!$data) {});这个宏会检查传递的数据是否存在,如果不存在则返回404状态码的JSON响应,否则返回正常的JSON响应。
如何排查和解决PHP连接数据库MYSQL失败写锁的问题
qq_33665793的博客
07-30 545
并把此服务器加入到定期排查的服务器集合中,因此服务器当时是使用的分公司购买的,所以遗漏了。本文将介绍一些常见的排查步骤和解决方法,帮助开发者快速定位和解决PHP连接数据库失败的问题。首先,确保你的PHP代码中的数据库连接凭据(主机名、用户名、密码、数据库名)是正确的。- **Ping命令**:从Web服务器上执行ping命令,检查是否能够成功到达数据库服务器。- **数据库名错误**:确认连接时使用了正确的数据库名称。- **主机名错误**:确保使用正确的主机名或IP地址。
PHP常用字符串函数详解与示例
`crypt`函数则提供了基本的加密功能,虽然现代加密通常使用更强大的算法,但在某些简单场景下依然适用。`convert_cyr_string`对于处理多语言网站特别是包含西里尔字母的文本非常有帮助。 此外,`fprintf`类似于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值