web代码安全:PHP内置过滤函数addslashes() 防止sql注入攻击将单引号(),双引号(""),反斜杠(\),NULL进行转义。
mysql_escape_string() 防止SQL注入攻击string msql_escape_string(string unescaped_string)本函数将unescaped_string转义,使之可以安全用于mysql_query()。
该函数在PHP4.3的时候被弃用,在PHP5.3的时候会发生警告,在PHP7之后彻底移除。mysql_escape_string不转义%和_。
htmlspecialchars()$str = htmlspecialchars(string,flags,character-set,double_encode);参数说明string:规定要转换的字符串; flags:可选参数,规定如何处理引号、无效的编码以及使用哪种文档;可用的引号类型; ENT_COMPAT:默认。
仅编码双引号 ENT_QUOTES:编码双引号和单引号 ENT_NOQUOTES:不编码任何引号在PHP中,htmlspecialchars()函数是使用来把一些预定义的字符转换为HTML实体,返回转换后的新字符串,原字符串不变,如果string包含无效的编码,则返回一个空的字符串。
转换&:转换为& ":转换为" :转换为> :转换为'
strip_tag() 去除空字符、HTML和PHP标记后的结果,可以添加第二个参数指定不被去除的字符列表。
escapeshellcmd()escapeshellcmd()对字符串中可能会欺骗shell命令执行任意命令的字符进行转义此函数保证用户输入的数据在传送到exec()或system()函数,或者执行操作符之前进行转义。
转义的字符& # ; ` | * ? ~ ^ (、) [、] {、} $ \ \x0A \xFF
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。