php中htmlspecialchars()函数和addslashes()函数的使用和区别
2017-08-25 23:32
597 查看
在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。
1)addslashes()作用及使用
addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义
如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1;
2)htmlspecialchars()作用及使用
htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。
如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script>
3)addslashes()与htmlspecialchars()的区别
除了两个函数的转义方式不同外,它们的使用也不同。
addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。
但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。
这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。
1)addslashes()作用及使用
addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义
如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1;
2)htmlspecialchars()作用及使用
htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。
如<script>alert('xss')</script>通过htmlspecialchars()过滤后为<script>alert('xss')</script>
3)addslashes()与htmlspecialchars()的区别
除了两个函数的转义方式不同外,它们的使用也不同。
addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。
但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。
这是我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。
相关文章推荐
- php中htmlspecialchars()函数和addslashes()函数的使用和区别
- php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别
- php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别
- php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别
- php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别
- PHP中htmlentities,htmlspecialchars,urlencode和base64_encode的使用及区别
- 转-PHP中htmlentities和htmlspecialchars函数的区别
- PHP中htmlentities和htmlspecialchars的使用及区别
- PHP 函数 htmlspecialchars 使用心得
- PHP中htmlentities和htmlspecialchars的使用及区别
- PHP中htmlentities和htmlspecialchars函数的区别
- PHP中htmlentities()和htmlspecialchars()这两个函数的区别
- PHP 5.4 已废弃 magic_quotes_gpc,PHP安全转义函数详解(addslashes 、htmlspecialchars、htmlentities、mysql_real_escape_string、strip_tags)
- PHP的转义函数 htmlspecialchars、strip_tags、addslashes解释
- php 去除html标记-strip_tags和htmlspecialchars的区别
- PHP htmlentities和htmlspecialchars的区别
- htmlspecialchars()函数 与 nl2br()函数 配合使用实例
- htmlspecialchars()函数 与 nl2br()函数 配合使用实例
- PHP中htmlentities和htmlspecialchars的区别
- php中的 htmlspecialchars函数