PHP用htmlspecialchars()函数对表单等输入数据的深度过滤

最新推荐文章于 2022-04-24 22:21:39 发布
最新推荐文章于 2022-04-24 22:21:39 发布
阅读量409 收藏
点赞数
分类专栏: PHP 学习笔录 文章标签: php 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42183037/article/details/105756730
版权

在PHP项目开发中,经常会和表单等输入源数据打交道,老码农常说:“任何时候都不要相信用户提交的数据”,所以在数据保存到数据库之前,必须对提交的数据进行过滤。
那么,PHP中有个函数:

> htmlspecialchars(string,quotestyle,character-set)

htmlspecialchars 函数把一些预定义的字符转换为 HTML 实体。
这些预定义字符是:

  • & (和号) 成为 &
  • " (双引号) 成为 "
  • ’ (单引号) 成为 ’
  • < (小于) 成为 <
  • > (大于) 成为 >

好了,这个函数只能对这些预定义字符进行转义,也就是说如果在字符串中包含这些转义字符,那么就进行转义。但是,如果输入不是字符串呢?比如:数组,对象怎么办呢?这时如果直接使用这个函数就会报错。
下面就写一个关于比较完美的关于输入转义的静态方法,可以在需要的地方使用。

class Tools
{
	static public function htmlString($_data)
	{
		if(is_array($_data))
		{
			foreach($_data as $key=>$value)
			{
				$_string[$key]=self::htmlString($value); //递归
			}
		}elseif(is_object($_data)){
			$_objects=new stdClass; //stdClass是PHP中的类原型、空类,它是最简单的对象
			foreach($_data as $key=>$value)
			{
				$_objects->$key=self::htmlString($value);
			}
		}else{
			$_string=htmlspecialchars($_data);  //如果是数组或对象,就使用递归反复一层层查询,直到找到预定义字符,再使用htmlspecialchars()进行转义。
		}
		return $_string;
	}
}

类和静态方法都定义好了,在需要的地方可以使用:

Tools::htmlString($变量);

进行调用赋值。

好了,就到这里,如果有帮助,点个赞吧,谢谢!

手是好汉!眼是懒汉。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php过滤输入操作之htmlentities与htmlspecialchars用法分析
10-20
主要介绍了php过滤输入操作之htmlentities与htmlspecialchars用法,结合实例形式分析了php数据过滤操作的相关函数与使用技巧,需要的朋友可以参考下
htmlspecialchars() 函数的用法及过滤XSS的问题
滴水石穿
08-31 5814
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,char...
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4449
xss绕过和htmlspecialchars函数绕过
htmlspecialchars详解
天天学安全专属博客
03-23 5864
1.首先看下面的代码 <?php $str = "This is <br> text"; echo htmlspecialchars($str); ?> 你运行一下会发现显示完全正确,显示为: This is <br> text 你查看源代码会发现: This is &lt;br&gt; text htmlspecialchars()的作用就是显示完全正确,但是源码改变,具体改变规则如下: '&amp
xss php 转义_addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入...
weixin_29137997的博客
03-09 502
一、转义或者转换的目的1.转义或者转换字符串防止sql注入2.转义或者转换字符防止html过滤引起页面布局变化3.转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式二、函数1. addslashes($str);此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)转义出现在html中的单引号(‘)和双引号(“),经...
php经常用到的数据过滤的方法
xgocn的专栏
02-19 1469
<?php /** * global.func.php 公共函数库 */ /** * 返回经addslashes处理过的字符串或数组 * @param $string 需要处理的字符串或数组 * @return mixed */ function new_addslashes($string){ if(!is_array($string)) return addslashes($string); foreach($string as $key => $val)...
php过滤htmlspecialchars() 函数实现把预定义的字符转换为 HTML 实体用法分析
10-16
主要介绍了php过滤htmlspecialchars() 函数实现把预定义的字符转换为 HTML 实体用法,结合实例形式分析了htmlspecialchars()函数针对HTML进行字符转义的相关操作技巧,需要的朋友可以参考下
PHP htmlspecialchars()函数用法与实例讲解
10-17
今天小编就为大家分享一篇关于PHP htmlspecialchars()函数用法与实例讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
php HtmlReplace输入过滤安全函数
12-18
复制代码 代码如下: // $rptype = 0 表示仅替换 html标记 // $rptype = 1 表示替换 html标记同时去除连续空白字符 // ... if($rptype==0) { $str = htmlspecialchars($str); } else if($rptype==1) { $str = htmlspecia
htmlspecialchars() 函数过滤XSS的问题
qlxmy的博客
03-05 1万+
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 &" (双引号)成为 "' (单引号)成为 '> (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,character-set,double_en
php 转义、防转义_addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入等等
weixin_42262935的博客
03-23 487
一、转义或者转换的目的 1. 转义或者转换字符串防止sql注入 2. 转义或者转换字符防止html过滤引起页面布局变化 3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式 二、函数 1. addslashes($str); 此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符) 转义出现在html中的单引号(‘)和双引号(“),经过测试效果不是很好,转义html中的特字符就使用htmlspecialchar()函
php表单数据过滤,PHP数据过滤的方法
weixin_42303721的博客
03-16 438
在指南的开始,我们说过数据过滤在任何语言、任何平台上都是WEB应用安全的基石。这包含检验输入到应用的数据以及从应用输出的数据,而一个好的软件设计可以帮助开发人员做到:确保数据过滤无法被绕过,确保不合法的信息不会影响合法的信息,并且识别数据的来源。关于如何确保数据过滤无法被绕过有各种各样的观点,而其中的两种观点比其他更加通用并可提供更高级别的保障。调度方法这种方法是用一个单一的 php 脚本调度(通...
PHP表单提交特殊字符的过滤和处理
热门推荐
紫云的博客
06-09 2万+
php编码转换
php时提交数据数据库一定记得要注意该加htmlspecialchars()的一定要加
gayayzy的专栏
02-10 2174
php时提交数据数据库一定记得要注意该加htmlspecialchars()的一定要加,像这样的小错误: 如果没加那个函数,我就提交这样的数据: 这样的数据。 这样的结果是不会让浏览者中毒的,而是会让页面在两秒后自动刷新并跳转到http://www.gayayang.com这个网站。 记住这句代码:很有用的。
php不同版本htmlspecialchars函数过滤GBK编码时中文为空
小麦萌的博客
08-01 1607
升级php环境后发现每次使用htmlspecialchars过滤后中文内容就没有了。经排查后发现php版本大于5.4的 htmlspecialchars 函数过滤中文会造成空白----gbk编码确定是这样。当然现在使用gbk编码的已经很少了。但是如果公司老项目还是使用gbk编码的话一定需要注意这个问题。解决办法也很简单添加参数就好 php大于5.4写法         htmlspec
php htmlspecialchar,PHPhtmlspecialchars() 和htmlspecialchars_decode方法详解
weixin_32964881的博客
03-10 1622
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。预定义的字符是:& (和号)成为 &" (双引号)成为 "' (单引号)成为 '< (小于)成为 <> (大于)成为 >注意:这个函数不能对斜杠/,反斜杠\做处理。示例:$content = '你是/谁啊,大几\都"老梁"做做&>women没 alert("hel...
PHP字符转义部分小结
02-19 478
PHP字符串转义相关的配置和函数如下:  1.magic_quotes_runtime  2.magic_quotes_gpc  3.addslashes()和stripslashes()  4.mysql_escape_string()  5.addcslashes()和stripcslashes()  6.htmlentities() 和html_entity_decode()
phphtml上调用数组,PHP:如何在数组数组上执行htmlspecialchar()?
weixin_39633113的博客
06-10 205
如何在数组对象上运行PHP函数htmlspecialchars()?PHP:如何在数组数组上执行htmlspecialchar()?我有以下代码:$result_set = Array([0] => Array([home_id] => 1[address] => 4225 Nasmyth Dr[city] => Plano[state] => TX[zip] =&g...
htmlspecialchars函数
最新发布
03-16
htmlspecialchars函数是一种PHP函数,用于将HTML特殊字符转换为它们的实体表示,以避免在HTML页面中出现错误或安全问题。这些特殊字符包括<、>、"、'和&等。使用htmlspecialchars函数可以确保在输出HTML代码时,这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值