php 转义、防转义_addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入等等

最新推荐文章于 2022-12-07 08:50:39 发布
最新推荐文章于 2022-12-07 08:50:39 发布
阅读量510 收藏 1
点赞数 1
分类专栏: php http 文章标签: php html
原文链接:https://blog.csdn.net/weixin_29137997/article/details/115103854
版权
php 同时被 2 个专栏收录
28 篇文章 0 订阅
订阅专栏
http
4 篇文章 0 订阅
订阅专栏

一、转义或者转换的目的

1. 转义或者转换字符串防止sql注入

2. 转义或者转换字符防止html非过滤引起页面布局变化

3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式

二、函数

1. addslashes($str);

此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)

转义出现在html中的单引号(‘)和双引号(“),经过测试效果不是很好,转义html中的特字符就使用htmlspecialchar()函数

2. htmlspecialchars($str);

此函数只转换5个字符,和号(&),双引号(“),单引号(‘),小于(),转换为实体形式,输出时浏览器会自动还原的,如果有意识的转换回来使用htmlspecialchars_decode();

3. htmlentities();

此函数会把所有html表示都转换为实体形式的,如果把thml实体转换为字符使用html_lentity_decode()

三、实例

场景说明:比如想在留言板贴出一段html代码或者javascript代码让别人指导,如何让留言板里面的内容显示出来的是一段html代码或者javascript代码,而不是被浏览器把这段html代码或者javascript给解析了的效果

下面的代码段中没有添加转义的任何措施,看看效果<?php

echo "输出的结果是:";

echo $_GET['n'];

?>

图1是原页面效果

a6b08e90913f6990d53276b3a1c5172f.png

(图1)

1. 在表单中提交html代码留言如图2-1

7b880d8ef62c55a23d603b380f3cb9b3.png

(图2-1)

图2-2为输出结果

04c8b02b8f2649b19bae6c6755fdb287.png

(图2-2)

2. 在表单中提交一段js代码如图3-1

f95c61800eccf2cf3be1bc61e591172d.png

(图3-1)

结果如图3-2出现弹窗,而不是我想要的js代码,这是ie内核的浏览器下,非ie的像谷歌,火狐没有出现此弹窗但是也没有输出那段js代码到页面

f4c56e8d7943c7423865180775659546.png

(图3-2)

可是代码如果进行了转义处理就不会像上面这样了,添加htmlspecialchars()函数进行处理<?php

echo "留言板输出的结果是:";

echo htmlspecialchars($_GET['n']);

?>

同样提交上面的html代码结果如下图4-1输出的html代码,而不是输出一个表单

21acff3166cac7405f4e0f0743c316a5.png

(图4-1)

同样提交上面的javascript代码结果如下图5-1输出的js代码,而不是变成弹窗

bafa6da40aa19ca1fe47f6c157589950.png

(图5-1)

四、开源系统中的应用

1. phpcms中使用代码/**

* 返回经addslashes处理过的字符串或数组

* @param $string 需要处理的字符串或数组

* @return mixed

*/

function new_addslashes($string){

if(!is_array($string)) return addslashes($string);

foreach($string as $key => $val) $string[$key] = new_addslashes($val);

return $string;

}

/**

* 返回经stripslashes处理过的字符串或数组

* @param $string 需要处理的字符串或数组

* @return mixed

*/

function new_stripslashes($string) {

if(!is_array($string)) return stripslashes($string);

foreach($string as $key => $val) $string[$key] = new_stripslashes($val);

return $string;

}

/**

* 返回经htmlspecialchars处理过的字符串或数组

* @param $obj 需要处理的字符串或数组

* @return mixed

*/

function new_html_special_chars($string) {

$encoding = 'utf-8';

if(strtolower(CHARSET)=='gbk') $encoding = 'ISO-8859-15';

if(!is_array($string)) return htmlspecialchars($string,ENT_QUOTES,$encoding);

foreach($string as $key => $val) $string[$key] = new_html_special_chars($val);

return $string;

}

function new_html_entity_decode($string) {

$encoding = 'utf-8';

if(strtolower(CHARSET)=='gbk') $encoding = 'ISO-8859-15';

return html_entity_decode($string,ENT_QUOTES,$encoding);

}

function new_htmlentities($string) {

$encoding = 'utf-8';

if(strtolower(CHARSET)=='gbk') $encoding = 'ISO-8859-15';

return htmlentitiesa>($string,ENT_QUOTES,$encoding);

}

2.  ecshop中的使用/* 对用户传入的变量进行转义操作。*/

if (!get_magic_quotes_gpc())

{

if (!empty($_GET))

{

$_GET  = addslashes_deep($_GET);

}

if (!empty($_POST))

{

$_POST = addslashes_deep($_POST);

}

$_COOKIE   = addslashes_deep($_COOKIE);

$_REQUEST  = addslashes_deep($_REQUEST);

}

/**

* 递归方式的对变量中的特殊字符进行转义

*

* @access  public

* @param   mix     $value

*

* @return  mix

*/

function addslashes_deep($value)

{

if (empty($value))

{

return $value;

}

else

{

return is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);

}

}

/**

* 将对象成员变量或者数组的特殊字符进行转义

*

* @access   public

* @param    mix        $obj      对象或者数组

* @author   Xuan Yan

*

* @return   mix                  对象或者数组

*/

function addslashes_deep_obj($obj)

{

if (is_object($obj) == true)

{

foreach ($obj AS $key => $val)

{

$obj->$key = addslashes_deep($val);

}

}

else

{

$obj = addslashes_deep($obj);

}

return $obj;

}

/**

* 递归方式的对变量中的特殊字符去除转义

*

* @access  public

* @param   mix     $value

*

* @return  mix

*/

function stripslashes_deep($value)

{

if (empty($value))

{

return $value;

}

else

{

return is_array($value) ? array_map('stripslashes_deep', $value) : stripslashes($value);

}

}

/**

* html代码输入

* @param unknown $str

* @return string

*/

function html_in($str) {

$search = array(

"''si", // 去掉 javascript

"']*?>.*?'si"  // 去掉iframe

);

$replace = array("", "");

$str = @preg_replace($search, $replace, $str);

$str = htmlspecialchars($str);

if (!get_magic_quotes_gpc()) {

$str = addslashes($str);

}

return $str;

}

/**

* html代码输出

* @param unknown $str

* @return string

*/

function html_out($str) {

if (function_exists('htmlspecialchars_decode')) {

$str = htmlspecialchars_decode($str);

} else {

$str = html_entity_decode($str);

}

$str = stripslashes($str);

return $str;

}

原文链接:https://blog.csdn.net/weixin_29137997/article/details/115103854

博博的博
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入xss攻击常见形式和解决方法
01-01
SQL 注入攻击是指攻击者通过在表单中填入特殊的字符或者在 URL 中增加特殊的字符,然后想数据库发起请求,拼凑出 SQL 语句,达到攻击的目的。这种攻击方式可以通过在表单中填入特殊的字符或者在 URL 中增加特殊的...
浅析51个PHP处理字符串的函数
10-27
12. `htmlspecialchars()`:将特殊字符转换HTML实体,防止XSS攻击,确保HTML内容的安全输出。 13. `htmlentities()`:与`htmlspecialchars()`类似,但将所有字符转换HTML实体,包括非ASCII字符。 14. `implode...
phpaddslashes(),htmlspecialchars()
09-08 119
参考转自http://czf2008700.blog.163.com/blog/static/2397283200937103250194/ addslashes -- 使用反斜线引用字符串string addslashes ( string str ) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线...
有关PHPHTML单引号、双引号转义以及转成HTML实体的那些事!
weixin_30509393的博客
09-28 196
一、单引号和双引号转义PHP的数据存储过程中用得比较多,即往数据库里面存储数据时候需要注意转义单、双引号; 先说几个PHP函数: 1、addslashes — 使用反斜线引用(转义)字符串;   返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。 一个使用 addslashes() 的例...
PHP如何去掉转义
larance的挨踢生活
07-06 925
string addslashes ( string str) 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(\')、双引号(\")、反斜线(\\)与 NUL(NULL 字符) stripslashes作用相反在处理
php 防止斜杠转义,PHP中让json_encode不自动转义斜杠“/”
weixin_42377742的博客
03-16 199
前言最近将使用爬虫爬取的链接保存到 mysql 数据库中时,发现我将链接使用 json_encode 保存时候,在数据库中却显示了转义字符,我并不需要这转义的,看起来不清晰而且占用存储空间。后来发现在默认的情况之下使用 json_encode 对数组进行 json 格式的转换时候会自动的将数据中含有斜杠的字符串进行转义,但是我们往往有的时候不需要药对它们进行转义的,本文说说如何使用 json_en...
php htmlspecialchars 不管用,php htmlspecialchars函数怎么用
weixin_31445091的博客
03-18 277
PHP htmlspecialchars函数用于将特殊字符转换HTML 实体,其语法是htmlspecialchars(string,flags,character-set,double_encode),参数string 必须,指规定要转换的字符串。php htmlspecialchars函数怎么用?php htmlspecialchars()函数 语法作用:函数把预定义的字符转换HTML...
php关于反斜杠转义字符.docx
03-01
除了`addslashes()`和`stripslashes()`,还有其他处理字符串的函数,如`htmlspecialchars()`和`htmlentities()`,它们用于将特殊字符转换HTML实体,防止XSS攻击。另外,`quotemeta()`函数则会为字符串中的非字母...
信息安全_PHP代码审计.PHP基础.pptx
08-14
字符串操作函数如`addslashes()`用于转义特殊字符,`explode()`和`implode()`用于分割和合并字符串。 在代码审计中,需特别注意安全问题,如SQL注入、XSS跨站脚本、文件包含漏洞等。对于SQL注入,应使用预编译语句...
PHP中字符平安过滤函数用法小结_.docx
10-09
PHP编程中,确保字符安全至关重要,因为不安全的用户输入可能导致诸如SQL注入和跨站脚本(XSS)等严重安全问题。本文将详细总结几种PHP中的字符安全过滤函数,帮助开发者保护应用程序免受此类攻击。 首先,`mysql...
php html实例代码,PHP htmlspecialchars() 函数实例代码及用法大全
weixin_42521032的博客
03-10 102
实例把预定义的字符 "" (大于)转换HTML 实体:$str = "This is some bold text.";echo htmlspecialchars($str);?>以上代码的 HTML 输出如下(查看源代码):This is some bold text.以上代码的浏览器输出:This is some bold text.运行实例定义和用法htmlspecialchars...
phpaddslashes,php addslashes函数_PHP教程
weixin_39984403的博客
03-29 114
php addslashes函数最终对应的c函数为:3244 PHPAPI char *php_addslashes_ex(char *str, int length, int *new_length, int should_free, int ignore_sybase TS RMLS_DC)3245 {3246 /* maximum string length, worst c...
php 防止斜杠转义,PHP中让json_encode不自动转义斜杠“/”的方法
weixin_39827304的博客
03-16 358
PHP中让json_encode不自动转义斜杠“/”的方法这里有新鲜出炉的 PHP 教程,程序狗速度看过来!PHP 开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:"超文本预处理器")是一种通用开源脚本语言。语法吸收了 C 语言、Java 和 Perl 的特点,入门门槛较低,易于学习,使用广泛,主要适用于 web 开发领域。PHP 的文件后缀名为 php。这篇文...
浅谈htmlentitieshtmlspecialchars、addslashes的使用方法
:)
06-15 302
html_entity_decode():把html实体转换为字符。 $str = "just atest & 'learn to use '"; echo html_entity_decode($str); echo "<br />"; echo html_entity_decode($str,ENT_QUOTES); echo "<br />"; echo ...
php 解析html 标签,htmlspecialchars_htmlspecialchars绕过_php 解析html标签
weixin_42405980的博客
03-10 366
PHP字符串转义相关的配置和函数如下:1.magic_quotes_runtime2.magic_quotes_gpc3.addslashes()和stripslashes()4.mysql_escape_string()5.addcslashes()和stripcslashes()6.htmlentities() 和html_entity_decode()7.htmlspecialchars(...
WEB开发技能树-PHP-magic_quotes_gpc/addslashes
深度安全实验室
12-07 155
magic_quotes_gpc
phpcms html 特殊字符转换
王安的博客
02-23 597
原文地址: html 特殊字符转换">phpcms  html 特殊字符转换作者:王小安如果用户 数据中含有html 格式特殊字符   new_html_special_chars()  方法将  字符串中html 特殊字符转换html编码格式
phpcms只对客户端数据过行过滤,不在数据动作时转义问题与不足
我的笔记
03-28 609
首先,发现它并不在数据库操作时进行/**     * 将数组转换为SQL语句     * @param array $where 要生成的数组     * @param string $font 连接串。     */    final public function sqls($where, $font = ' AND ') {        if (is_array($where)) {   
python关于防止转义
qq_26092757的博客
01-27 6590
转载自:https://www.cnblogs.com/harglo/p/14647135.html 要实现的目标:将原字符串赋值到变量再转为目标字符串 原字符串:D:\bc\other\Java\Java视频教程\1-2 -面向对象和封装 目标字符串:D:/bc/other/Java/Java视频教程/1-2 -面向对象和封装 用途:把用户直接复制黏贴输入的文件路径(原字符串)存到变量,转换成目标字符串进行文件的相关操作。 因为原字符串中有/会使发生转义,所以想着要先防止转义,如果是已经定义好的原始文件路
php防止sql注入xss攻击
最新发布
06-01
防止SQL注入攻击,可以采取以下措施: 1. 使用参数化查询或预处理语句,这可以防止恶意用户通过在查询中插入额外的SQL代码来攻击数据库。 2. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等,以确保输入的数据符合预期。 3. 不要直接使用用户输入作为SQL查询的一部分,使用转义字符或安全的编码方式对用户输入进行处理。 为防止XSS攻击,可以采取以下措施: 1. 对用户输入进行过滤和验证,例如限制输入的字符类型、长度、格式等。 2. 对输出到网页的用户输入进行转义,例如将特殊字符转换HTML实体,这可以防止恶意用户注入恶意脚本或代码。 3. 使用内容安全策略(CSP)等技术来限制网页中可以执行的脚本和代码的来源,以防止跨站脚本攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值