PHP字符转义相关函数小结(php下的转义字符串)


Posted in PHP onApril 12, 2007

文章中有不正确的或者说辞不清的地方,麻烦大家指出了~~~

与PHP字符串转义相关的配置和函数如下:
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes()和stripslashes()
4.mysql_escape_string()
5.addcslashes()和stripcslashes()
6.htmlentities() 和html_entity_decode()
7.htmlspecialchars()和htmlspecialchars_decode()

当magic_quotes_runtime打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。
可以使用set_magic_quotes_runtime()与get_magic_quotes_runtime()‍设置和检测其状态。
注意:PHP5.3.0以上的版本已将这两个函数废弃,也就说在PHP5.3.0或以上版本时该选项已经为关闭了。

magic_quotes_gpc设置是否自动为GPC(GET,POST,COOKIE)传来的数据中的某些字符进行转义,
可以使用get_magic_quotes_gpc()检测其设置。
如果没有打开这项设置,可以使用addslashes()函数添加给字符串进行转义

addslashes()‍ 在指定的预定义字符前添加反斜杠。
预定义字符包括单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。
以上是W3SCHOOL.COM.CN给出的解释俺一直觉的不是很准确
因为在magic_quotes_sybase=on时它将单引号(')转换成双引号(") 在magic_quotes_sybase=off时才将单引号(')转换成(\')
stripslashes()函数的功能与addslashes()‍正好相反,它的功能是去除转义的效果。

mysql_escape_string() 转义 SQL语句中使用的字符串中的特殊字符。‍
这里的特殊包括(\x00)、( \n)、( \r )、(\)、( ')、 (")、( \x1a)

addcslashes()‍以C 语言风格使用反斜线转义字符串中的字符,这个函数很少人去用,但是应该注意的是:当选择对字符 0,a,b,f,n,r,t 和 v 进行转义时,它们将被转换成 \0,\a,\b,\f,\n,\r,\t 和 \v。在 PHP 中,只有 \0(NULL),\r(回车符),\n(换行符)和 \t(制表符)是预定义的转义序列, 而在 C 语言中,上述的所有转换后的字符都是预定义的转义序列。同理stripcslashes()的功能就是去除其转义。

htmlentities() 把字符转换为 HTML 实体。(什么是HTML实体?自己GOOGLE吧~~)
具体参数请见这里,其逆反的函数html_entity_decode() -‍把 HTML 实体转换为字符。

htmlspecialchars()函数把一些预定义的字符转换为 HTML 实体。
这些预定义的字符是:
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 '
< (小于) 成为 <
> (大于) 成为 >
‍详细参数请见这里,其逆反函数是htmlspecialchars_decode() 把一些预定义的 HTML 实体转换为字符。

一点自己的体会:
>>多次的单引号转义可能引起数据库的安全问题
>> 不建议使用mysql_escape_string 来进行转义,建议在获取用户输入时候进行转义
>> 由于set_magic_quotes_runtime()‍在PHP5.3.0和以后版本已被废弃了, 所以之前的版本建议统一配置关闭:

if(phpversion() < '5.3.0') { 
set_magic_quotes_runtime(0); 
}

‍>> 无法通过函数来定义magic_quotes_gpc,因此建议在服务器上统一开启,写程序的时候应该在来判断下,避免没开启GPC引起安全问题
通过addslashes对GPC进行时候转义时,应注意当用户提交数组数据时对键值和值的过滤
if(!get_magic_quotes_gpc()) { 
$_GET = daddslashes($_GET); 
$_POST = daddslashes($_POST); 
$_COOKIE = daddslashes($_COOKIE); 
$_FILES = daddslashes($_FILES); 
} 
function daddslashes($string, $force = 1) { 
if(is_array($string)) { 
foreach($string as $key => $val) { 
unset($string[$key]); 
$string[addslashes($key)] = daddslashes($val, $force); 
} 
} else { 
$string = addslashes($string); 
} 
return $string; 
}

‍>> 利用在用户输入或输出时候转义HTML实体以防止XSS漏洞的产生!

今天碰到一个处理文件特殊字符的事情,再次注意到这个问题,在php中:

* 以单引号为定界符的php字符串,支持两个转义\'和\\
* 以双引号为定界符的php字符串,支持下列转义:
    \n 换行(LF 或 ASCII 字符 0x0A(10)) 
    \r 回车(CR 或 ASCII 字符 0x0D(13)) 
    \t 水平制表符(HT 或 ASCII 字符 0x09(9)) 
    \\ 反斜线 
    \$ 美元符号 
    \" 双引号 
    \[0-7]{1,3}               此正则表达式序列匹配一个用八进制符号表示的字符  
    \x[0-9A-Fa-f]{1,2}  此正则表达式序列匹配一个用十六进制符号表示的字符  

举几个例子:

一个包含\0特殊字符的例子:

$str = "ffff\0ffff";
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");

输出结果:
----------------------

9
        102     102     102     102     0       102     102     102     102

替换特殊字符的例子

$str = "ffff\0ffff";
$str = str_replace("\x0", "", $str);  
//或者用$str = str_replace("\0", "", $str); 
//或者用$str = str_replace(chr(0), "", $str); 
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
输出结果:
----------------------
8
        102     102     102     102     102     102     102     102

八进制ascii码例子:

//注意,符合正则\[0-7]{1,3}的字符串,表示一个八进制的ascii码。
$str = "\0\01\02\3\7\10\011\08\8";  //这里的\8不符合要求,被修正为"\\8" (ascii为92和56)
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
输出结果:
----------------------
11
        0       1       2       3       7       8       9       0       56      92      56

十六进制ascii码例子:

$str = "\x0\x1\x2\x3\x7\x8\x9\x10\x11\xff";
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
输出结果:
----------------------
10
        0       1       2       3       7       8       9       16      17      255

PHP 相关文章推荐
Discuz 6.0+ 批量注册用户名
Sep 13 PHP
AMFPHP php远程调用(RPC, Remote Procedure Call)工具 快速入门教程
May 10 PHP
php和数据库结合的一个简单的web实例 代码分析 (php初学者)
Jul 28 PHP
php5.5新数组函数array_column使用
Jul 08 PHP
PHP面向对象教程之自定义类
Jun 10 PHP
让codeigniter与swfupload整合的最佳解决方案
Jun 12 PHP
linux下编译安装memcached服务
Aug 03 PHP
php检查日期函数checkdate用法实例
Mar 19 PHP
PHP CURL 多线程操作代码实例
May 13 PHP
thinkphp修改配置进入默认首页的方法
Feb 07 PHP
PHP框架实现WebSocket在线聊天通讯系统
Nov 21 PHP
php ActiveMQ的安装与使用方法图文教程
Feb 23 PHP
如何提高MYSQL数据库的查询统计速度 select 索引应用
Apr 11 #PHP
相对路径转化成绝对路径
Apr 10 #PHP
PHP实现MVC开发得最简单的方法――模型
Apr 10 #PHP
PHP+Tidy-完美的XHTML纠错+过滤
Apr 10 #PHP
ASP和PHP都是可以删除自身的
Apr 09 #PHP
收藏的一个php小偷的核心程序
Apr 09 #PHP
PHP中文汉字验证码
Apr 08 #PHP
You might like
让PHP支持页面回退的两种方法[转]
2007/02/14 PHP
php session_start()出错原因分析及解决方法
2013/10/28 PHP
Symfony页面的基本创建实例详解
2015/01/26 PHP
PHP给源代码加密的几种方法汇总(推荐)
2018/02/06 PHP
刷新页面实现方式总结(HTML,ASP,JS)
2008/11/13 Javascript
JQuery 学习笔记 选择器之六
2009/07/23 Javascript
javascript 当前日期转化为中文的实现代码
2010/05/13 Javascript
jQuery的实现原理的模拟代码 -4 重要的扩展函数 extend
2010/08/03 Javascript
JavaScript 打地鼠游戏代码说明
2010/10/12 Javascript
EasyUi tabs的高度与宽度根据IE窗口的变化自适应代码
2010/10/26 Javascript
用jquery写的一个万年历(自写)
2014/01/20 Javascript
javascript实现俄罗斯方块游戏的思路和方法
2015/04/27 Javascript
详解jQuery中的empty、remove和detach
2016/04/11 Javascript
倾力总结40条常见的移动端Web页面问题解决方案
2016/05/24 Javascript
JS实现移动端触屏拖拽功能
2018/07/31 Javascript
vue头部导航动态点击处理方法
2018/11/02 Javascript
微信小程序Page中data数据操作和函数调用方法
2019/05/08 Javascript
React精髓!一篇全概括小结(急速)
2019/05/23 Javascript
基于Node的Axure文件在线预览的实现代码
2019/08/28 Javascript
如何利用nodejs自动定时发送邮件提醒(超实用)
2020/12/01 NodeJs
10分钟学会js处理json的常用方法
2020/12/06 Javascript
python标准算法实现数组全排列的方法
2015/03/17 Python
Python引用传值概念与用法实例小结
2017/10/07 Python
详解Python with/as使用说明
2018/12/13 Python
Python argparse模块应用实例解析
2019/11/15 Python
Pycharm学生免费专业版安装教程的方法步骤
2020/09/24 Python
澳洲Chemist Direct药房中文网:澳洲大型线上直邮药房
2019/11/04 全球购物
VLAN和VPN有什么区别?分别实现在OSI的第几层?
2014/12/23 面试题
大学生物业管理求职信
2013/10/24 职场文书
护理学毕业生求职信
2013/11/14 职场文书
高中家长寄语
2014/04/02 职场文书
学校社会实践活动总结
2014/07/03 职场文书
优秀学生主要事迹怎么写
2015/11/04 职场文书
安全生产标语口号
2015/12/26 职场文书
2019年公司快递收发管理制度模板
2019/11/20 职场文书
Python编程根据字典列表相同键的值进行合并
2021/10/05 Python