php中htmlspecialchars()函数和addslashes()函数的使用和区别
更新:2019-11-12 13:35:09
人气:4797
来源:互联网转载
A+
在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。
1)addslashes()作用及使用
addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“”进行转义
如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb' or 1='1;
2)htmlspecialchars()作用及使用
htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。
如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script>
3)addslashes()与htmlspecialchars()的区别
除了两个函数的转义方式不同外,它们的使用也不同。
addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号, 和null进行转义。
但sql执行成功后,插入到数据库中的数据是不带有转义字符的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。
这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。
推荐的文章
Ads by Google
随手记
- ● Mysql的Sql_mode设置(Incorrectdatetimevalue:'0000-00-0000:00:00'forcolumn)
- ● InternalServerError错误和.htaccess伪静态的关系
- ● js实时动态显示PHP服务器时间且不用Ajax循环查询获取的方法
- ● Google谷歌访问助手百度云分享下载及安装方法说明
- ● jQuery实现页面中表格数据的搜索
- ● PHP如何获取指定网址的header头信息及隐藏关闭的方法
- ● 去掉EasyPlayer播放器水印LOGO“tsingsee”的方法
- ● easy-player-element.min.js使用示例及百度云盘下载
- ● html使用EasyWasmPlayer.js示例方法及百度网盘下载地址
- ● 谷歌广告联盟(GoogleAdsense)申请通过了,可服务器在哪?
PHP经验分享
- ● PHP允许JS(xmlHttp)、AJAX跨域的设置方法
- ● php远程网络唤醒计算机及WOL唤醒魔术包格式原理
- ● FatalErrorBaseaddressmarksunusablememoryregion解决办法
- ● 关于PHP7不支持curl的解决方法
- ● PHP在浏览器中发出CMD指令执行Windows电脑关机、重启
- ● PHP接收$_POST表单值为字符串或数组时,对安全转义的处理函数
- ● PHP+MYSQL多个字段插入或修改数据库时的简便方法
- ● 关联数组循环输出及根据键名输出键值有用法
- ● PHP生成和识别二维码的方法详解及示例源代码【百度云下载】
- ● MySQL并发相关的参数的调整
本站PHP博客源代码下载
联系博主