php安全之php过滤(使数据变纯洁)
时间:2010-06-28 来源:本站原创 作者:yuge 浏览次数:
为什么要进行php过滤,我们所说过滤就如同安检,像出入境,甚至乘坐地铁都要安检,有时候觉得真的很麻烦,为了安全也是值得的。
主要是为了,防止非法用户,添加恶意的代码,或添加一些特殊代码,轻而易举就获得网站的漏洞和服务器权限。
php过滤用的函数一般用到的有htmlspecialchars,strip_tags
,addslashes(这个在后面会讲到)
htmlspecialchars(string,quotestyle,character-set);
参数一是要转换的字符串,参数二是设置是否要转换单引号,双引号之类的,参数三是字符串编码设置。
本函数将特殊字符转成 HTML 的字符串格式 ( &....; )。最常用到的场合可能就是处理客户留言的留言版了。
& (和) 转成 &
" (双引号) 转成 "
< (小于) 转成 <
> (大于) 转成 >
此函数只转换上面的特殊字符,并不会全部转换成 HTML 所定的 ASCII 转换。
htmlentities()
本函数有点像 htmlspecialchars() 函数,但本函数会将所有 string 的字符都转成 HTML 的特殊字集字符串。不过在转换后阅读网页源代码的方面,会有很多困扰,尤其是对中文字支持不太好,浏览器上看到的还是正常的。
strip_tags()
去掉 HTML 及 PHP 的标记。 语法: string strip_tags(string allow);
string 必需。规定要检查的字符串。
allow 可选。规定允许的标签。这些标签不会被删除。
我试了allow参数只能设置一个标记。
版权归原作者所有,内容仅供参考学习,不得用于商业用途。
