php mysql 转义函数_PHP常用的转义函数

最新推荐文章于 2021-02-02 20:14:25 发布
最新推荐文章于 2021-02-02 20:14:25 发布
阅读量188 收藏
点赞数
文章标签: php mysql 转义函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34227128/article/details/113474084
版权

1. addslashes

addslashes对SQL语句中的特殊字符进行转义操作,包括(‘),

(“), (),

(NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQL有mysql_real_escape_string函数用来转义SQL。

注意在PHP5.3之前,magic_quotes_gpc是默认开启的,其主要是在$GET, $POST,

$COOKIE上执行addslashes操作,所以不需要在这些变量上重复调用addslashes,否则会double

escaping的。不过magic_quotes_gpc在PHP5.3就已经被废弃,从PHP5.4开始就已经被移除了,如果使用PHP最新版本可以不用担心这个问题。stripslashes为addslashes的unescape函数。

2.

htmlspecialchars

htmlspecialchars把HTML中的几个特殊字符转义成HTML

Entity(格式:&xxxx;)形式,包括(&),(‘),(“),()五个字符。

& (AND) => &

” (双引号) => " (当ENT_NOQUOTES没有设置的时候)

‘ (单引号)

=> ' (当ENT_QUOTES设置)

< (小于号) => <

> (大于号) => >

htmlspecialchars可以用来过滤$GET,$POST,$COOKIE数据,预防XSS。注意htmlspecialchars函数只是把认为有安全隐患的HTML字符进行转义,如果想要把HTML所有可以转义的字符都进行转义的话请使用htmlentities。htmlspecialchars_decode为htmlspecialchars的decode函数。

3. htmlentities

htmlentities把HTML中可以转义的内容转义成HTML

Entity。html_entity_decode为htmlentities的decode函数。

4.

mysql_real_escape_string

mysql_real_escape_string会调用MySQL的库函数mysql_real_escape_string,对(\x00),

(\n), (\r), (), (‘),

(\x1a)进行转义,即在前面添加反斜杠(),预防SQL注入。注意你不需要在读取数据库数据的时候调用stripslashes来进行unescape,因为这些反斜杠是在数据库执行SQL的时候添加的,当把数据写入到数据库的时候反斜杠会被移除,所以写入到数据库的内容就是原始数据,并不会在前面多了反斜杠。

5. strip_tagsstrip_tags会过滤掉NUL,HTML和PHP的标签。

6. 结语PHP自带的安全函数并不能完全避免XSS,推荐使用HTML Purifier

MHJCR
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP常用转义函数
12-19
1. addslashesaddslashes对SQL语句中的特殊字符进行转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQL有...
PHP写入Mysql时如何进行转义(特殊字符或括号与单双引号)
最新发布
IF先生的博客
08-24 671
在使用PHP操作Mysql时,对于某些特殊字符需要进行转义后才能正确写入.
php mysql 字符串转义_php中字符串转义函数
weixin_33235712的博客
02-02 395
mysql_escape_string(PHP 4 >= 4.0.3, PHP 5, PECL mysql:1.0)mysql_escape_string — 转义一个字符串用于 mysql_query说明string mysql_escape_string ( string $unescaped_string )本函数将 unescaped_string 转义,使之可以安全用于 mysql...
关于php转义函数的整理
weixin_45427650的博客
01-07 421
addcslashes() 函数 语法: addcslashes(“abc”, “c”) :在字符串中的c字母前加反斜杠 “ \ ” mysqli_real_escape_string() 函数 语法: mysqli_real_escape_string(“mysql连接”, “要转义的字符串”) 自动转义是 :NUL(ASCII 0)、\n、\r、\、’、" 和 Control-Z。 ...
php 转义 mysql_PHP引号转义(解决POST,GET,Mysql数据自动转义问题)
weixin_30064949的博客
01-18 229
今天做了一个小项目,给别人之后发现post数据被自动转义了,我郁闷了半天,我google了一下发现是PHP魔术引号在作怪。。。我煞费苦心终于找到了原因,可是怎么解决呢?百度。。。google。。。其实都挺好的在处理mysql和GET、POST的数据时,常常要对数据的引号进行转义操作。PHP中有三个设置可以实现自动对’(单引号),”(双引号),\(反斜线)和 NULL 字符转转。PHP称之为魔术引号...
mysql插入数据时用到的转义函数addslashes()
liuyecao6的专栏
04-30 2309
在往数据库里插入数据时,原来不知道有这个函数,很傻的用了一连串的str_replace(); 一次过滤内容中的特殊的字符,还有些朋友说可以用mysql_real_escape_string()这个函数,现在也不明白两个函数究竟有什么区别,也希望知道的朋友能够指正! string addslashes ( string str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符
PHP字符转义相关函数小结(php下的转义字符串)
01-21
文章中有不正确的或者说辞不清的地方,麻烦大家指出了~~~与PHP字符串转义相关的配置和函数如下: 1.magic_quotes_runtime 2.magic_quotes_gpc 3.addslashes()和stripslashes() 4.mysql_escape_string() 5....
php mysql_real_escape_string函数用法与实例教程
01-20
转义特殊字符在unescaped_string,考虑到当前字符的连接设置,以便它在的地方是安全的在mysql_query()它。如果二进制数据要插入,这个函数必须被使用 下列字符受影响: \x00 \n \r \ ‘ ” \x1a 如果成功,则该...
MySQL 转义字符使用说明
12-15
MySQL转义字符“\” mfc_basic MySQL识别下列转义字符: \0 一个ASCII 0 (NUL)字符。 \n 一个新行符。 \t 一个定位符。 制符分隔 \r 一个回车符。 \b 一个退格符。 \’ 一个单引号(“’”)符。 \” 一个双引号(...
使用PHP转义函数:避免XSS漏洞
lcradio的专栏
02-28 1275
近期出现很多CMS出现XSS漏洞等新闻,PHP作为比较安全的网络编程语言,也变得“不那么安全”,其实,注意使用PHP常用转义函数、安全函数就可以过滤大部份常见的攻击手段,如SQL注入、XSS攻击等。 1. htmlentities htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的
php-magic-quotes-gpc:在PHP 5.4更高版本上为旧版代码实现magic_quotes_gpc
05-14
PHP魔术引号实现 在PHP 5.4更高版本上为旧版代码实现magic_quotes_gpc 如果您要将旧版源代码迁移到上述PHP 5.4版的环境中,但是根据Magic Quotes magic_quotes_gpc SQL保护,其中包括许多易受攻击的数据库查询代码。 只需使用它就可以像以前一样在新版本PHP上平稳运行。 作为PHP的警告: 自PHP 5.3.0起,Magic Quotes功能已被弃用,自PHP 5.4.0起,该功能已被删除。 示范 print_r ( $ _GET ); MagicQuotesGpc :: init (); print_r ( $ _GET ); 使用查询?username=1' OR '1'='1访问URL后,输出为: Array ( [username] => 1' OR '1'='1 ) Array ( [username] => 1\
C++ 回调函数
yly的博客
10-20 683
定义:将(回调)函数指针、或函数对象、或匿名函数传入(中间)函数,在(中间)函数内部需要的位置再调用(回调)函数。 回调函数的名字比较唬人,并不是我调用你,你再回来调用我的意思,不要误解成来回调用的意思。而是回头(待会)再调用的意思。callback function来源于电话用语,I will call you back later. 应用:库需要封装起来,但需要与应用层交互,根据应用层某些函数实现不同,在库中实现不同的功能。 即中间函数 https://thispointer.com/d..
PHP字符串转义相关函数
Tacks的博客
04-08 2152
目录 【1】addslashes与stripslashes 【2】addcslashes与stripcslashes 【3】htmlspecialchars与htmlspecialchars_decode 【4】quotemeta— 下面这些特殊字符前加 反斜线(\) 转义后的字符串。 【5】nl2br — 在字符串所有新行之前插入 HTML 换行标记 【6】strip_tags —...
PHP 5.4 已废弃 magic_quotes_gpc,PHP安全转义函数详解(addslashes 、htmlspecialchars、htmlentities、mysql_real_escape...
weixin_33895475的博客
11-22 605
1. addslashes() addslashes()对SQL语句中的特殊字符进行转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQLmysql_real_escape_string()函数用来转义SQL。 注意在PHP5.3之前,magic_quotes_gpc是默认...
get_magic_quotes_gpc 是做什么的,为何php5.4以上被移除了?
kaixinfelix的专栏
01-26 4742
函数功能: get_magic_quotes_gpc — 获取当前 magic_quotes_gpc 的配置选项设置,这个是magic_quotes_gpc在php.ini里面的配置选项,在运行时设置将不会成功。 如果设置了这个选项,那么php解析器就会自动为POST、GET、COOKIE过来的数据增加转义字符"\"。 为什么要有这个选项? 增加转义符最主要的目的就是为了防止包含sq
PHP magic_quotes_gpc的正确处理方式
老张的自言自语
05-06 299
大多的PHP程序,都有这样的逻辑: 如果发现php.ini配置为不给GPC变量自动添加转义斜线,则PHP自动为GPC添加转义斜线 但是事实上,这是错误的,因为它改变了GPC变量原来的值. 有这个遗留习惯的原因是PHP程序使用往往配合mysql, 而mysql对特殊字符的转义,采取的是添加转义斜线,但是其它数据如mssql,oci呢,不一定是这样的. 如果使用其它类型数据库,如mssql,o...
关于php自动转义问题,配置里magic_quotes_gpc的历史遗留问题
tofrookie的专栏
04-29 1683
今天朋友的网站又出问题了(由于刚迁到新的空间各种问题),于是就查了一番问题,发现php把数据decode 后变为了NULL,这很诡异啊,于是我在本地测,没有问题,接着我就上网查了一下,说是decode要求格式很严格 稍微不准确都会不行,于是我把数据用var_dump打了出来,发现被转义了,但是没有问题。 1.然后我做了第一种测试 我把这些数据(var_dump打印的数据,复制出来)直接de
mysql 常用转义字符
07-28
MySQL常用转义字符是反引号(`)。它用于避免与MySQL的关键字冲突,并且通常用于引用数据库名、表名和字段名。例如,如果要查询一个名为"from"的字段,可以使用`from`来转义它,以示它是一个字段名而不是关键字。\[1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值