PHP安全-輸出轉義

輸出轉義

另外一個Web應用安全的基礎是對輸出進行轉義或對特殊字元進行編碼，以保證原意不變。例如，O'Reilly在傳送給MySQL資料庫前需要轉義成O\'Reilly。單引號前的反斜線代表單引號是資料本身的一部分，而不是並不是它的本義。

我所指的輸出轉義具體分為三步：

l 識別輸出

l 輸出轉義

l 區分已轉義與未轉義資料

只對已過濾資料進行轉義是很有必要的。儘管轉義能防止很多常見安全性漏洞，但它不能替代輸入過濾。被汙染資料必須首先過濾然後轉義。

在對輸出進行轉義時，你必須先識別輸出。通常，這要比識別輸入簡單得多，因為它依賴於你所進行的動作。例如，識別到用戶端的輸出時，你可以在代碼中尋找下列語句：

echoprintprintf<?=

作為一項應用的開發人員，你必須知道每一個向外部系統輸出的地方。它們構成了輸出。

象過濾一樣，轉義過程在依情形的不同而不同。過濾對於不同類型的資料處理方法也是不同的，轉義也是根據你傳輸資訊到不同的系統而採用不同的方法。

對於一些常見的輸出目標（包括用戶端、資料庫和URL）的轉義，PHP中有內建函數可用。如果你要寫一個自己演算法，做到萬無一失很重要。需要找到在外系統中特殊字元的可靠和完整的列表，以及它們的表示方式，這樣資料是被保留下來而不是轉譯了。

最常見的輸出目標是客戶機，使用htmlentities()在資料發出前進行轉義是最好的方法。與其它字串函數一樣，它輸入是一個字串，對其進行加工後進行輸出。但是使用htmlentities()函數的最佳方式是指定它的兩個選擇性參數：引號的轉義方式（第二參數）及字元集（第三參數）。引號的轉義方式應該指定為ENT_QUOTES，它的目的是同時轉義單引號和雙引號，這樣做是最徹底的，字元集參數必須與該頁面所使用的字元集相必配。

為了區分資料是否已轉義，我還是建議定義一個命名機制。對於輸出到客戶機的轉義資料，我使用$html數組進行儲存，該資料首先初始化成一個空數組，對所有已過濾和已轉義資料進行儲存。

CODE:

<?php   $html = array(  );  $html['username'] =htmlentities($clean['username'], ENT_QUOTES, 'UTF-8');  echo "<p>Welcome back,{$html['username']}.</p>";   ?>

小提示

htmlspecialchars( )函數與htmlentities()函數基本相同，它們的參數定義完全相同，只不過是htmlentities( )的轉義更為徹底。

通過$html['username']把username輸出到用戶端，你就可以確保其中的特殊字元不會被瀏覽器所錯誤解釋。如果username只包含字母和數位話，實際上轉義是沒有必要的，但是這體現了深度防範的原則。轉義任何的輸出是一個非常好的習慣，它可以戲劇性地提高你的軟體的安全性。

另外一個常見的輸出目標是資料庫。如果可能的話，你需要對SQL語句中的資料使用PHP內建函數進行轉義。對於MySQL使用者，最好的轉義函數是mysql_real_escape_string()。如果你使用的資料庫沒有PHP內建轉義函數可用的話，addslashes( )是最後的選擇。

下面的例子說明了對於MySQL資料庫的正確的轉義技巧：

CODE:

<?php   $mysql = array(  );  $mysql['username'] =mysql_real_escape_string($clean['username']);  $sql = "SELECT *          FROM   profile          WHERE  username ='{$mysql['username']}'";  $result = mysql_query($sql);   ?>

以上就是PHP安全-輸出轉義的內容，更多相關內容請關注topic.alibabacloud.com（www.php.cn）！

