在网络发展的过程中,我们经常有来自世界各地的用户得到的数据。但是,我们永远不能相信用户输入的数据,所以在各种Web开发语言,提供了一个功能,保证用户的数据安全。在PHP,有一些非常有用的和方便的功能可以帮助你防止SQL注入攻击、跨站脚本攻击等问题。



1。mysql_real_escape_string()



这个函数对防止PHP中的SQL注入攻击有很大帮助。它使用的特殊字符,例如单引号、双引号、加反斜杠,以确保在用户输入查询它是安全的。但是你要注意,你使用这个功能,当你连接到数据库。

但现在mysql_real_escape_string()函数基本上是无用的。所有新的应用程序开发使用的图书馆一样,PDO对数据库进行操作,也就是说,我们可以用准备读句子来防止SQL注入攻击。



2。addslashes()



这个功能是非常相似的mysql_real_escape_string()以上。它也增加了对特殊字符的反斜杠,但需要注意的是,当magic_quotes_gpc设置文件的价值是重要的,不要使用该功能。当magic_quotes_gpc =,都得,后,和Cookie数据自动运行addslashes()。不要用addslashes(),已通过通过magic_quotes_gpc字符串,因为这导致双层逃脱。你可以用get_magic_quotes_gpc检查这个变量的值()函数在PHP。



三.htmlentities()



这个函数对于过滤用户输入数据非常有用,可以将字符转换成HTML实体。(源代码去看<<),所以它可以防止XSS和SQL注入攻击。对于字符集不能被认可,它将被忽略和取代ISO-8859-1。



4。htmlspecialchars()



这个函数与上面的非常类似。HTML中的一些字符有特殊的含义。如果我们想体现这个意义,我们必须转换成HTML实体,它将返回转换后的字符串。



5。strip_tags()



这个函数可以删除字符串中的所有HTML、Javascript和PHP标记。当然,您还可以设置函数的第二个参数,忽略一些特定的标记。



6。intval()



intval实际上并不属于一个过滤函数,其功能是将变量为整数型。它是非常有用的,我们需要一个整数参数。您可以使用此函数使PHP代码更安全,尤其是在分析整数数据(如id)时。



这些是PHP内置的字符串过滤函数,非常简单实用,希望合作伙伴能很好地使用它们。