PHP字符转义相关函数小结(php下的转义字符串)


Posted in PHP onApril 12, 2007

文章中有不正确的或者说辞不清的地方,麻烦大家指出了~~~

与PHP字符串转义相关的配置和函数如下:
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes()和stripslashes()
4.mysql_escape_string()
5.addcslashes()和stripcslashes()
6.htmlentities() 和html_entity_decode()
7.htmlspecialchars()和htmlspecialchars_decode()

当magic_quotes_runtime打开时,php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。
可以使用set_magic_quotes_runtime()与get_magic_quotes_runtime()‍设置和检测其状态。
注意:PHP5.3.0以上的版本已将这两个函数废弃,也就说在PHP5.3.0或以上版本时该选项已经为关闭了。

magic_quotes_gpc设置是否自动为GPC(GET,POST,COOKIE)传来的数据中的某些字符进行转义,
可以使用get_magic_quotes_gpc()检测其设置。
如果没有打开这项设置,可以使用addslashes()函数添加给字符串进行转义

addslashes()‍ 在指定的预定义字符前添加反斜杠。
预定义字符包括单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。
以上是W3SCHOOL.COM.CN给出的解释俺一直觉的不是很准确
因为在magic_quotes_sybase=on时它将单引号(')转换成双引号(") 在magic_quotes_sybase=off时才将单引号(')转换成(\')
stripslashes()函数的功能与addslashes()‍正好相反,它的功能是去除转义的效果。

mysql_escape_string() 转义 SQL语句中使用的字符串中的特殊字符。‍
这里的特殊包括(\x00)、( \n)、( \r )、(\)、( ')、 (")、( \x1a)

addcslashes()‍以C 语言风格使用反斜线转义字符串中的字符,这个函数很少人去用,但是应该注意的是:当选择对字符 0,a,b,f,n,r,t 和 v 进行转义时,它们将被转换成 \0,\a,\b,\f,\n,\r,\t 和 \v。在 PHP 中,只有 \0(NULL),\r(回车符),\n(换行符)和 \t(制表符)是预定义的转义序列, 而在 C 语言中,上述的所有转换后的字符都是预定义的转义序列。同理stripcslashes()的功能就是去除其转义。

htmlentities() 把字符转换为 HTML 实体。(什么是HTML实体?自己GOOGLE吧~~)
具体参数请见这里,其逆反的函数html_entity_decode() -‍把 HTML 实体转换为字符。

htmlspecialchars()函数把一些预定义的字符转换为 HTML 实体。
这些预定义的字符是:
& (和号) 成为 &
" (双引号) 成为 "
' (单引号) 成为 '
< (小于) 成为 <
> (大于) 成为 >
‍详细参数请见这里,其逆反函数是htmlspecialchars_decode() 把一些预定义的 HTML 实体转换为字符。

一点自己的体会:
>>多次的单引号转义可能引起数据库的安全问题
>> 不建议使用mysql_escape_string 来进行转义,建议在获取用户输入时候进行转义
>> 由于set_magic_quotes_runtime()‍在PHP5.3.0和以后版本已被废弃了, 所以之前的版本建议统一配置关闭:

if(phpversion() < '5.3.0') { 
set_magic_quotes_runtime(0); 
}

‍>> 无法通过函数来定义magic_quotes_gpc,因此建议在服务器上统一开启,写程序的时候应该在来判断下,避免没开启GPC引起安全问题
通过addslashes对GPC进行时候转义时,应注意当用户提交数组数据时对键值和值的过滤
if(!get_magic_quotes_gpc()) { 
$_GET = daddslashes($_GET); 
$_POST = daddslashes($_POST); 
$_COOKIE = daddslashes($_COOKIE); 
$_FILES = daddslashes($_FILES); 
} 
function daddslashes($string, $force = 1) { 
if(is_array($string)) { 
foreach($string as $key => $val) { 
unset($string[$key]); 
$string[addslashes($key)] = daddslashes($val, $force); 
} 
} else { 
$string = addslashes($string); 
} 
return $string; 
}

‍>> 利用在用户输入或输出时候转义HTML实体以防止XSS漏洞的产生!

今天碰到一个处理文件特殊字符的事情,再次注意到这个问题,在php中:

* 以单引号为定界符的php字符串,支持两个转义\'和\\
* 以双引号为定界符的php字符串,支持下列转义:
    \n 换行(LF 或 ASCII 字符 0x0A(10)) 
    \r 回车(CR 或 ASCII 字符 0x0D(13)) 
    \t 水平制表符(HT 或 ASCII 字符 0x09(9)) 
    \\ 反斜线 
    \$ 美元符号 
    \" 双引号 
    \[0-7]{1,3}               此正则表达式序列匹配一个用八进制符号表示的字符  
    \x[0-9A-Fa-f]{1,2}  此正则表达式序列匹配一个用十六进制符号表示的字符  

举几个例子:

一个包含\0特殊字符的例子:

$str = "ffff\0ffff";
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");

输出结果:
----------------------

9
        102     102     102     102     0       102     102     102     102

替换特殊字符的例子

$str = "ffff\0ffff";
$str = str_replace("\x0", "", $str);  
//或者用$str = str_replace("\0", "", $str); 
//或者用$str = str_replace(chr(0), "", $str); 
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
输出结果:
----------------------
8
        102     102     102     102     102     102     102     102

八进制ascii码例子:

//注意,符合正则\[0-7]{1,3}的字符串,表示一个八进制的ascii码。
$str = "\0\01\02\3\7\10\011\08\8";  //这里的\8不符合要求,被修正为"\\8" (ascii为92和56)
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
输出结果:
----------------------
11
        0       1       2       3       7       8       9       0       56      92      56

十六进制ascii码例子:

$str = "\x0\x1\x2\x3\x7\x8\x9\x10\x11\xff";
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
输出结果:
----------------------
10
        0       1       2       3       7       8       9       16      17      255

PHP 相关文章推荐
PHP+DBM的同学录程序(3)
Oct 09 PHP
php escape URL编码
Dec 10 PHP
PHP 日,周,月点击排行统计
Jan 11 PHP
simplehtmldom Doc api帮助文档
Mar 26 PHP
PHP函数getenv简介和使用实例
May 12 PHP
PHP常用技术文之文件操作和目录操作总结
Sep 27 PHP
PHP清除字符串中所有无用标签的方法
Dec 01 PHP
php使用递归函数实现数字累加的方法
Mar 16 PHP
PHP实现的文件上传类与用法详解
Jul 05 PHP
PHP中localeconv()函数的用法
Mar 26 PHP
PHP连接SQL Server的方法分析【基于thinkPHP5.1框架】
May 06 PHP
七种PHP开发环境搭建工具
Jun 28 PHP
如何提高MYSQL数据库的查询统计速度 select 索引应用
Apr 11 #PHP
相对路径转化成绝对路径
Apr 10 #PHP
PHP实现MVC开发得最简单的方法――模型
Apr 10 #PHP
PHP+Tidy-完美的XHTML纠错+过滤
Apr 10 #PHP
ASP和PHP都是可以删除自身的
Apr 09 #PHP
收藏的一个php小偷的核心程序
Apr 09 #PHP
PHP中文汉字验证码
Apr 08 #PHP
You might like
php 升级到 5.3+ 后出现的一些错误,如 ereg(); ereg_replace(); 函数报错
2015/12/07 PHP
Thinkphp框架 表单自动验证登录注册 ajax自动验证登录注册
2016/12/27 PHP
Javascript attachEvent传递参数的办法
2009/12/14 Javascript
JS文本框默认值处理详解
2013/07/10 Javascript
js 3种归并操作的实例代码
2013/10/30 Javascript
用JS实现3D球状标签云示例代码
2013/12/01 Javascript
javascript处理表单示例(javascript提交表单)
2014/04/28 Javascript
JavaScript获得表单target属性的方法
2015/04/02 Javascript
JS自定义选项卡函数及用法实例分析
2015/09/02 Javascript
jQuery实现鼠标滑过链接控制图片的滑动展开与隐藏效果
2015/10/28 Javascript
canvas学习之API整理笔记(二)
2016/12/29 Javascript
Vue shopCart 组件开发详解
2018/01/26 Javascript
ES6顶层对象、global对象实例分析
2019/06/14 Javascript
vue模块移动组件的实现示例
2020/05/20 Javascript
[00:34]TI7不朽珍藏III——纯金地穴编织者饰品展示
2017/07/15 DOTA
python装饰器使用方法实例
2013/11/21 Python
Python中unittest模块做UT(单元测试)使用实例
2015/06/12 Python
使用python实现省市三级菜单效果
2016/01/20 Python
使用Mixin设计模式进行Python编程的方法讲解
2016/06/21 Python
Python+Pika+RabbitMQ环境部署及实现工作队列的实例教程
2016/06/29 Python
深入解析Python的Tornado框架中内置的模板引擎
2016/07/11 Python
python实现决策树分类算法
2017/12/21 Python
用python建立两个Y轴的XY曲线图方法
2019/07/08 Python
使用TensorFlow实现简单线性回归模型
2019/07/19 Python
Python3.5 win10环境下导入kera/tensorflow报错的解决方法
2019/12/19 Python
Pytorch中膨胀卷积的用法详解
2020/01/07 Python
PyCharm License Activation激活码失效问题的解决方法(图文详解)
2020/03/12 Python
如何用canvas实现在线签名的示例代码
2018/07/10 HTML / CSS
普天C++笔试题
2016/03/20 面试题
会计毕业生自我鉴定
2013/11/04 职场文书
基层党支部公开承诺书
2014/05/29 职场文书
工作自我评价范文
2015/03/05 职场文书
小学家长意见怎么写
2015/06/03 职场文书
《怀念母亲》教学反思
2016/02/19 职场文书
pytorch 6 batch_train 批训练操作
2021/05/28 Python
原生JS实现飞机大战小游戏
2021/06/09 Javascript