php 转义、防转义_addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入等等

最新推荐文章于 2022-12-07 08:50:39 发布
最新推荐文章于 2022-12-07 08:50:39 发布
阅读量510 收藏 1
点赞数 1
分类专栏: php http 文章标签: php html
原文链接:https://blog.csdn.net/weixin_29137997/article/details/115103854
版权
php 同时被 2 个专栏收录
28 篇文章 0 订阅
订阅专栏
http
4 篇文章 0 订阅
订阅专栏

一、转义或者转换的目的

1. 转义或者转换字符串防止sql注入

2. 转义或者转换字符防止html非过滤引起页面布局变化

3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式

二、函数

1. addslashes($str);

此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)

转义出现在html中的单引号(‘)和双引号(“),经过测试效果不是很好,转义html中的特字符就使用htmlspecialchar()函数

2. htmlspecialchars($str);

此函数只转换5个字符,和号(&),双引号(“),单引号(‘),小于(),转换为实体形式,输出时浏览器会自动还原的,如果有意识的转换回来使用htmlspecialchars_decode();

3. htmlentities();

此函数会把所有html表示都转换为实体形式的,如果把thml实体转换为字符使用html_lentity_decode()

三、实例

场景说明:比如想在留言板贴出一段html代码或者javascript代码让别人指导,如何让留言板里面的内容显示出来的是一段html代码或者javascript代码,而不是被浏览器把这段html代码或者javascript给解析了的效果

下面的代码段中没有添加转义的任何措施,看看效果<?php

echo "输出的结果是:";

echo $_GET['n'];

?>

图1是原页面效果

a6b08e90913f6990d53276b3a1c5172f.png

(图1)

1. 在表单中提交html代码留言如图2-1

7b880d8ef62c55a23d603b380f3cb9b3.png

(图2-1)

图2-2为输出结果

04c8b02b8f2649b19bae6c6755fdb287.png

(图2-2)

2. 在表单中提交一段js代码如图3-1

f95c61800eccf2cf3be1bc61e591172d.png

(图3-1)

结果如图3-2出现弹窗,而不是我想要的js代码,这是ie内核的浏览器下,非ie的像谷歌,火狐没有出现此弹窗但是也没有输出那段js代码到页面

f4c56e8d7943c7423865180775659546.png

(图3-2)

可是代码如果进行了转义处理就不会像上面这样了,添加htmlspecialchars()函数进行处理<?php

echo "留言板输出的结果是:";

echo htmlspecialchars($_GET['n']);

?>

同样提交上面的html代码结果如下图4-1输出的html代码,而不是输出一个表单

21acff3166cac7405f4e0f0743c316a5.png

(图4-1)

同样提交上面的javascript代码结果如下图5-1输出的js代码,而不是变成弹窗

bafa6da40aa19ca1fe47f6c157589950.png

(图5-1)

四、开源系统中的应用

1. phpcms中使用代码/**

* 返回经addslashes处理过的字符串或数组

* @param $string 需要处理的字符串或数组

* @return mixed

*/

function new_addslashes($string){

if(!is_array($string)) return addslashes($string);

foreach($string as $key => $val) $string[$key] = new_addslashes($val);

return $string;

}

/**

* 返回经stripslashes处理过的字符串或数组

* @param $string 需要处理的字符串或数组

* @return mixed

*/

function new_stripslashes($string) {

if(!is_array($string)) return stripslashes($string);

foreach($string as $key => $val) $string[$key] = new_stripslashes($val);

return $string;

}

/**

* 返回经htmlspecialchars处理过的字符串或数组

* @param $obj 需要处理的字符串或数组

* @return mixed

*/

function new_html_special_chars($string) {

$encoding = 'utf-8';

if(strtolower(CHARSET)=='gbk') $encoding = 'ISO-8859-15';

if(!is_array($string)) return htmlspecialchars($string,ENT_QUOTES,$encoding);

foreach($string as $key => $val) $string[$key] = new_html_special_chars($val);

return $string;

}

function new_html_entity_decode($string) {

$encoding = 'utf-8';

if(strtolower(CHARSET)=='gbk') $encoding = 'ISO-8859-15';

return html_entity_decode($string,ENT_QUOTES,$encoding);

}

function new_htmlentities($string) {

$encoding = 'utf-8';

if(strtolower(CHARSET)=='gbk') $encoding = 'ISO-8859-15';

return htmlentitiesa>($string,ENT_QUOTES,$encoding);

}

2.  ecshop中的使用/* 对用户传入的变量进行转义操作。*/

if (!get_magic_quotes_gpc())

{

if (!empty($_GET))

{

$_GET  = addslashes_deep($_GET);

}

if (!empty($_POST))

{

$_POST = addslashes_deep($_POST);

}

$_COOKIE   = addslashes_deep($_COOKIE);

$_REQUEST  = addslashes_deep($_REQUEST);

}

/**

* 递归方式的对变量中的特殊字符进行转义

*

* @access  public

* @param   mix     $value

*

* @return  mix

*/

function addslashes_deep($value)

{

if (empty($value))

{

return $value;

}

else

{

return is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);

}

}

/**

* 将对象成员变量或者数组的特殊字符进行转义

*

* @access   public

* @param    mix        $obj      对象或者数组

* @author   Xuan Yan

*

* @return   mix                  对象或者数组

*/

function addslashes_deep_obj($obj)

{

if (is_object($obj) == true)

{

foreach ($obj AS $key => $val)

{

$obj->$key = addslashes_deep($val);

}

}

else

{

$obj = addslashes_deep($obj);

}

return $obj;

}

/**

* 递归方式的对变量中的特殊字符去除转义

*

* @access  public

* @param   mix     $value

*

* @return  mix

*/

function stripslashes_deep($value)

{

if (empty($value))

{

return $value;

}

else

{

return is_array($value) ? array_map('stripslashes_deep', $value) : stripslashes($value);

}

}

/**

* html代码输入

* @param unknown $str

* @return string

*/

function html_in($str) {

$search = array(

"''si", // 去掉 javascript

"']*?>.*?'si"  // 去掉iframe

);

$replace = array("", "");

$str = @preg_replace($search, $replace, $str);

$str = htmlspecialchars($str);

if (!get_magic_quotes_gpc()) {

$str = addslashes($str);

}

return $str;

}

/**

* html代码输出

* @param unknown $str

* @return string

*/

function html_out($str) {

if (function_exists('htmlspecialchars_decode')) {

$str = htmlspecialchars_decode($str);

} else {

$str = html_entity_decode($str);

}

$str = stripslashes($str);

return $str;

}

原文链接:https://blog.csdn.net/weixin_29137997/article/details/115103854

博博的博
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入xss攻击常见形式和解决方法
01-01
SQL 注入攻击是指攻击者通过在表单中填入特殊的字符或者在 URL 中增加特殊的字符,然后想数据库发起请求,拼凑出 SQL 语句,达到攻击的目的。这种攻击方式可以通过在表单中填入特殊的字符或者在 URL 中增加特殊的...
浅析51个PHP处理字符串的函数
10-27
12. `htmlspecialchars()`:将特殊字符转换HTML实体,防止XSS攻击,确保HTML内容的安全输出。 13. `htmlentities()`:与`htmlspecialchars()`类似,但将所有字符转换HTML实体,包括非ASCII字符。 14. `implode...
PHP如何去掉转义
larance的挨踢生活
07-06 925
string addslashes ( string str) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(\')、双引号(\")、反斜线(\\)与 NUL(NULL 字符) stripslashes作用相反在处理
WEB开发技能树-PHP-magic_quotes_gpc/addslashes
深度安全实验室
12-07 155
magic_quotes_gpc
python关于防止转义
qq_26092757的博客
01-27 6590
转载自:https://www.cnblogs.com/harglo/p/14647135.html 要实现的目标:将原字符串赋值到变量再转为目标字符串 原字符串:D:\bc\other\Java\Java视频教程\1-2 -面向对象和封装 目标字符串:D:/bc/other/Java/Java视频教程/1-2 -面向对象和封装 用途:把用户直接复制黏贴输入的文件路径(原字符串)存到变量,转换成目标字符串进行文件的相关操作。 因为原字符串中有/会使发生转义,所以想着要先防止转义,如果是已经定义好的原始文件路
&times被转义为X的问题
hutaoo的博客
09-11 9843
之前在PHP中,访问api接口的时候,有个参数为timestamp,在url传输中发现&amp;amp;amp;times会被转义为X,因为在输出的时候有些字符是有特殊的含义的,比如 “&amp;amp;lt;” ,” &amp;amp;gt;”这些字符在html中一般是标签的开始与结束,所以在输出的时候,浏览器做了转码,查看源码的时候发现是对的,那么要让浏览器显示是我们需要的字符,解决的办法有将&amp;amp;amp;times写在参数第一个位置,或者将”...
php经常用到的数据过滤的方法
xgocn的专栏
02-19 1494
<?php /** * global.func.php 公共函数库 */ /** * 返回经addslashes处理过的字符串或数组 * @param $string 需要处理的字符串或数组 * @return mixed */ function new_addslashes($string){ if(!is_array($string)) return addslashes($string); foreach($string as $key => $val)...
php关于反斜杠转义字符.docx
03-01
除了`addslashes()`和`stripslashes()`,还有其他处理字符串的函数,如`htmlspecialchars()`和`htmlentities()`,它们用于将特殊字符转换HTML实体,防止XSS攻击。另外,`quotemeta()`函数则会为字符串中的非字母...
信息安全_PHP代码审计.PHP基础.pptx
08-14
字符串操作函数如`addslashes()`用于转义特殊字符,`explode()`和`implode()`用于分割和合并字符串。 在代码审计中,需特别注意安全问题,如SQL注入、XSS跨站脚本、文件包含漏洞等。对于SQL注入,应使用预编译语句...
PHP中字符平安过滤函数用法小结_.docx
10-09
PHP编程中,确保字符安全至关重要,因为不安全的用户输入可能导致诸如SQL注入和跨站脚本(XSS)等严重安全问题。本文将详细总结几种PHP中的字符安全过滤函数,帮助开发者保护应用程序免受此类攻击。 首先,`mysql...
php 防止斜杠转义,PHP中让json_encode不自动转义斜杠“/”
weixin_42377742的博客
03-16 199
前言最近将使用爬虫爬取的链接保存到 mysql 数据库中时,发现我将链接使用 json_encode 保存时候,在数据库中却显示了转义字符,我并不需要这转义的,看起来不清晰而且占用存储空间。后来发现在默认的情况之下使用 json_encode 对数组进行 json 格式的转换时候会自动的将数据中含有斜杠的字符串进行转义,但是我们往往有的时候不需要药对它们进行转义的,本文说说如何使用 json_en...
php 跨站脚本攻击漏洞,PHP跨站脚本攻击(XSS)漏洞修复思路(二)
weixin_42300721的博客
03-10 657
上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口:①、中国博客联盟,主要有搜索、后台博客提交等;②、张戈博客(WordP...
dede常见漏洞以及解决方法
weixin_33674437的博客
09-03 308
   dede的漏洞公认的多,接手这个网站也接触了不少,现在就把几种接触到的或者了解到的漏洞记录下来,让大家可以提高警惕,防止网站被***。1.dede dialog目录下的配置文件漏洞    如果有能力的同学最好好好研究下这个目录下的文件,漏洞太多了,先只说我遇到的一处在include/dialog下的config.php第35行if($cuserLogin-&gt;getUserID() &...
php 解析html 标签,htmlspecialchars_htmlspecialchars绕过_php 解析html标签
weixin_42405980的博客
03-10 366
PHP字符串转义相关的配置和函数如下:1.magic_quotes_runtime2.magic_quotes_gpc3.addslashes()和stripslashes()4.mysql_escape_string()5.addcslashes()和stripcslashes()6.htmlentities() 和html_entity_decode()7.htmlspecialchars(...
phpcms只对客户端数据过行过滤,不在数据动作时转义问题与不足
我的笔记
03-28 609
首先,发现它并不在数据库操作时进行/**     * 将数组转换为SQL语句     * @param array $where 要生成的数组     * @param string $font 连接串。     */    final public function sqls($where, $font = ' AND ') {        if (is_array($where)) {   
浅谈htmlentitieshtmlspecialchars、addslashes的使用方法
:)
06-15 302
html_entity_decode():把html实体转换为字符。 $str = "just atest & 'learn to use '"; echo html_entity_decode($str); echo "<br />"; echo html_entity_decode($str,ENT_QUOTES); echo "<br />"; echo ...
xss php 转义_addslasheshtmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入...
weixin_29137997的博客
03-09 540
一、转义或者转换的目的1.转义或者转换字符串防止sql注入2.转义或者转换字符防止html非过滤引起页面布局变化3.转义或者转换可以阻止javascript等脚本的xss攻击避免出现类似恶意弹窗等等形式二、函数1. addslashes($str);此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)转义出现在html中的单引号(‘)和双引号(“),经...
phpcms笔记
Miracle_Gaaral的博客
03-20 275
phpcms转义字符公共处理函数new_addslashesphpcms里面封闭了一个函数new_addslashes专业用来处理特列字符的转义问题,这个函数是在phpcms框架入口文件里面的公共函数文件global.func.php(在phpcms/libs/functions/目录里面)。PHPCMS系统常量有哪些?  CACHE_PATH 缓存文件夹地址  SITE_PROTOCOL 主机...
php 防止斜杠转义,PHP中让json_encode不自动转义斜杠“/”的方法
weixin_39827304的博客
03-16 358
PHP中让json_encode不自动转义斜杠“/”的方法这里有新鲜出炉的 PHP 教程,程序狗速度看过来!PHP 开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:"超文本预处理器")是一种通用开源脚本语言。语法吸收了 C 语言、Java 和 Perl 的特点,入门门槛较低,易于学习,使用广泛,主要适用于 web 开发领域。PHP 的文件后缀名为 php。这篇文...
php防止sql注入xss攻击
最新发布
06-01
防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以防止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值