PHP中字元安全過濾函數使用小結_PHP教程

PHP中字元安全過濾函數使用小結

這篇文章主要簡單介紹了PHP中字元安全過濾函數，對於防止sql注入攻擊XSS攻擊能非常有用，這裡推薦給大家。

在WEB開發過程中，我們經常要擷取來自於世界各地的使用者輸入的資料。但是，我們“永遠都不能相信那些使用者輸入的資料”。所以在各種的Web開發語言中，都會提供保證使用者輸入資料安全的函數。在PHP中，有些非常有用並且方便的函數，它們可以協助你防止出現像SQL注入攻擊，XSS攻擊等問題。

1. mysql_real_escape_string()

這個函數曾經對於在PHP中防止SQL注入攻擊提供了很大的協助，它對特殊的字元，像單引號和雙引號，加上了“反斜線”，確保使用者的輸入在用它去查詢之前已經是安全的了。但你要注意你是在串連著資料庫的情況下使用這個函數。
但現在mysql_real_escape_string()這個函數基本不用了，所有新的應用開發都應該使用像PDO這樣的庫對資料庫進行操作，也就是說，我們可以使用現成的語句防止SQL注入攻擊。

2. addslashes()

這個函數和上面的mysql_real_escape_string()很相似，同樣是為特殊字元加上反斜線，但要注意當設定檔案php.ini中的 magic_quotes_gpc 的值為“on”時，不要使用這個函數。magic_quotes_gpc = on時，對所有的 GET、POST 和 COOKIE 資料自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字串 使用 addslashes()，因為這樣會導致雙層轉義。你可以通過PHP中get_magic_quotes_gpc()函數檢查這個變數的值。

3. htmlentities()

這個函數對過濾使用者輸入資料非常有用，它可以把字元轉換為 HTML 實體。比如，當使用者輸入字元“<”時，就會被該函數轉化為HTML實體 “<”(查看原始碼是將會看到“<”)，因此防止了XSS和SQL注入攻擊，對於無法被識別的字元集將被忽略，並由 ISO-8859-1 代替

4. htmlspecialchars()

這個函數跟上面的很相似，HTML中的一些字元有著特殊的含義，如果要體現這樣的含義，就要被轉換為HTML實體，這個函數會返迴轉換後的字串。

5. strip_tags()

這個函數可以去除字串中所有的HTML，JavaScript和PHP標籤，當然你也可以通過設定該函數的第二個參數，忽略過濾一些特定的標籤。

6. intval()

intval其實不屬於過濾的函數，它的作用是將變數轉成整數類型。在我們需要得到一個整數的參數時非常有用，你可以用這個函數讓你的PHP代碼更安全，特別是當你在解析id，年齡這樣的整數形資料時。

這些都是PHP內建的字串過濾函數，十分簡單實用，希望小夥伴們能用好他們。

http://www.bkjia.com/PHPjc/960581.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/960581.htmlTechArticlePHP中字元安全過濾函數使用小結 這篇文章主要簡單介紹了PHP中字元安全過濾函數，對於防止sql注入攻擊XSS攻擊能非常有用，這裡推薦給大家...

