addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入

Posted 绝技小嗨皮

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入相关的知识,希望对你有一定的参考价值。

一、转义或者转换的目的

    1. 转义或者转换字符串防止sql注入

    2. 转义或者转换字符防止html非过滤引起页面布局变化

    3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式

二、函数

    1. addslashes($str);

        此函数转义预定义的字符:单引号(‘),双引号(“),反斜线()与NULL(NULL字符)

        转义出现在html中的单引号(‘)和双引号(“),经过测试效果不是很好,转义html中的特字符就使用htmlspecialchar()函数

   2. htmlspecialchars($str);

          此函数只转换5个字符,和号(&),双引号(“),单引号(‘),小于(<),大于(>),转换为实体形式,输出时浏览器会自动还原的,如果有意识的转换回来使用htmlspecialchars_decode();

   3. htmlentities();

        此函数会把所有html表示都转换为实体形式的,如果把thml实体转换为字符使用html_lentity_decode()

以上是关于addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入的主要内容,如果未能解决你的问题,请参考以下文章

PHP之string之addslashes()函数使用

addslashes,stripslashes

php---------字符串转义函数(addslashes,stripslashes)

防止sql注入的函数addslashes()

sqli-labs less34 POST- Bypass AddSlashes (POST型绕过addslashes() 函数的宽字节注入)

addslashes 及 其他 清除空格的方法是不安全的