mysql_real_escape_string 在插入数据库时使用
htmlentities() 在将数据输出到网页时使用
htmlspecialchars() 什么时候用的?
strip_tags() 什么时候用的?
addslashes() 什么时候用的?
htmlspecialchars()何时使用?
htmlspecialchars与大致相同htmlentities。区别:字符编码。
两个编码控制字符,如,&等等用于打开标签等htmlentities从像元音变音,欧元符号和这样的其它语言也编码字符。如果您的网站是UTF,请使用htmlspecialchars(),否则请使用htmlentities()。
strip_tags()何时使用?
htmlspecialchars/ entities编码特殊字符,因此它们被显示但未解释。strip_tags删除它们。
实际上,这取决于您需要做什么。
一个例子:您已经为论坛编写了代码,并为用户提供了一个文本字段,以便他们可以发布内容。恶意的尝试:
pictures of kittens here
如果您不执行任何操作,则会显示该链接,并且单击该链接的受害者会弹出很多弹出窗口。
如果您使用htmlentity / htmlspecialchar输出,则文本将保持原样。如果您删除它,它只会删除标签并显示它:
pictures of kittens here
有时您可能想要混合,在其中保留一些标签,例如(strip_tags可以在其中保留某些标签)。这也是不安全的,因此最好对XSS使用一些完整的库。
斜线
引用旧版本的PHP手册:
返回一个字符串,该字符串在数据库查询等中需要加引号的字符之前带有反斜杠。这些字符是单引号('),双引号(“),反斜杠()和NUL(空字节)。
在向数据库中输入数据时,addslashes()的用法示例。例如,要将名称O'reilly插入数据库中,您将需要对其进行转义。强烈建议使用DBMS特定的转义函数(例如,对于MySQL,使用mysqli_real_escape_string();对于PostgreSQL,使用pg_escape_string()),但是如果您使用的DBMS没有转义功能,并且DBMS使用\来转义特殊字符,则您可以使用此功能。
在目前的版本是不同的措词。