A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

本帖最后由 huawei 于 2017-3-5 11:00 编辑

合格PHPer必须了解的7个增强 PHP 程序安全函数


作为一个合格的PHP程序员,必须要牢记一句格言,那就是“永远不能相信那些用户输入的数据”。在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等。一起看看PHP中常用的确保安全的函数(注意,这并不是完整的列表)。

1. addslashes()
       这个函数的原理跟mysql_real_escape_string()相似。但是当在php.ini文件中,“magic_quotes_gpc“的值是“on”的时候,就不要使用这个函数。magic_quotes_gpc 的默认值是on,对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。你可以使用get_magic_quotes_gpc()函数来确定它是否开启。

2. htmlentities()
       这个函数对于过滤用户输入的数据非常有用。它会将一些特殊字符转换为HTML实体。例如,用户输入“<“时,就会被该函数转化为HTML实体‘<’,输入>就被转为实体‘>’HTML实体对照表:http://www.w3school.com.cn/html/html_entities.asp),可以防止XSS和SQL注入攻击。

3. htmlspecialchars()
       在HTML中,一些特定字符有特殊的含义,如果要保持字符原来的含义,就应该转换为HTML实体。这个函数会返回转换后的字符串,例如‘&’转为’&‘(ps:请参照第二点中的实体对照表链接)

游客,如果您要查看本帖隐藏内容请回复


62 个回复

倒序浏览
htmlentitieshtmlentitieshtmlentities
回复 使用道具 举报
发达国家空间访客登记
回复 使用道具 举报
感谢楼主的分享哦
回复 使用道具 举报
顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶
回复 使用道具 举报
djkfnkssjao
回复 使用道具 举报
嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿嘿
回复 使用道具 举报
390753323446539075332344653907533234465
回复 使用道具 举报
PHP 程序安全函数
回复 使用道具 举报
fadsssssssssssssss
回复 使用道具 举报
学习了!
回复 使用道具 举报
浏览,你们论坛做的这个功能有点不好
回复 使用道具 举报
d'sa'd啊是打算打算大大松
回复 使用道具 举报
回复 使用道具 举报
我们来看看答案~~
回复 使用道具 举报
好好学习 谢谢分享
回复 使用道具 举报
谢谢分享!!!
回复 使用道具 举报
合格PHPer必须了解的7个增强 PHP 程序安全函数
回复 使用道具 举报
谢谢楼主分享
回复 使用道具 举报
<<<<<<<<<<<<<<<<<<<<<<<<<<<
回复 使用道具 举报
1234下一页
您需要登录后才可以回帖 登录 | 加入黑马