PHP 5.4 已廢棄 magic_quotes_gpc，PHP安全轉義函數詳解（addslashes 、htmlspecialchars、htmlentities、mysql_real_escape_string、strip_tags）

標籤：script   sql語句   資料庫   eal   function   php5   操作   double   移除   

1. addslashes()

addslashes()對SQL語句中的特殊字元進行轉義操作，包括(‘), (“), (), (NUL)四個字元，此函數在DBMS沒有自己的轉義函數時候使用，但是如果DBMS有自己的轉義函數，那麼推薦使用原裝函數，比如MySQL有mysql_real_escape_string()函數用來轉義SQL。 注意在PHP5.3之前，magic_quotes_gpc是預設開啟的，其主要是在$GET, $POST, $COOKIE上執行addslashes()操作，所以不需要在這些變數上重複調用addslashes()，否則會double escaping的。不過magic_quotes_gpc在PHP5.3就已經被廢棄，從PHP5.4開始就已經被移除了，如果使用PHP最新版本可以不用擔心這個問題。stripslashes()為addslashes()的unescape()函數。

2. htmlspecialchars()

htmlspecialchars()把HTML中的幾個特殊字元轉義成HTML Entity(格式：&xxxx;)形式，包括(&),(‘),(“),(<),(>)五個字元。

& (AND) => &amp;
” (雙引號) => &quot; (當ENT_NOQUOTES沒有設定的時候)
‘ (單引號) => &#039; (當ENT_QUOTES設定)
< (小於符號) => &lt;
> (大於符號) => &gt;   

htmlspecialchars()可以用來過濾$GET，$POST，$COOKIE資料，預防XSS。注意htmlspecialchars()函數只是把認為有安全隱患的HTML字元進行轉義，如果想要把HTML所有可以轉義的字元都進行轉義的話請使用htmlentities()。htmlspecialchars_decode()為htmlspecialchars()的decode函數。

3. htmlentities()

htmlentities()把HTML中可以轉義的內容轉義成HTML Entity。html_entity_decode()為htmlentities()的decode函數。

4. mysql_real_escape_string()

mysql_real_escape_string()會調用MySQL的庫函數mysql_real_escape_string()，對(\x00), (\n), (\r), (), (‘), (\x1a)進行轉義，即在前面添加反斜線()，預防SQL注入。注意你不需要在讀取資料庫資料的時候調用stripslashes()來進行unescape，因為這些反斜線是在資料庫執行SQL的時候添加的，當把資料寫入到資料庫的時候反斜線會被移除，所以寫入到資料庫的內容就是未經處理資料，並不會在前面多了反斜線。

5. strip_tags()

strip_tags()會過濾掉NUL，HTML和PHP的標籤。

6. 結語

PHP內建的安全函數並不能完全避免XSS，推薦使用HTML Purifier

 

PHP 5.4 已廢棄 magic_quotes_gpc，PHP安全轉義函數詳解（addslashes 、htmlspecialchars、htmlentities、mysql_real_escape_string、strip_tags）