$html = array( );
$html['username'] = htmlentities($clean['username'], ent_quotes, 'utf-8');
echo "
welcome back, .";
?>複製**
小提示htmlspecialchars( )函式與htmlentities( )函式基本相同,它們的引數定義完全相同,只不過是htmlentities( )的轉義更為徹底。通過$html['username']把username 輸出到客戶端,你就可以確保其中的特殊字元不會被瀏覽器所錯誤解釋。如果username 只包含字母和數字的話,實際上轉義是沒有必要的,但是這體現了深度防範的原則。轉義任何的輸出是乙個非常好的習慣,它可以戲劇性地提高你的軟體的安全性。
另外乙個常見的輸出目標是資料庫。如果可能的話,需要對sql 語句中的資料使用php內建函式進行轉義。
對於mysql資料庫使用者,最好的轉義函式是mysql_real_escape_string( )。
如果使用的資料庫沒有php 內建轉義函式可用的話,addslashes( )是最後的選擇。
例子,對於mysql 資料庫的正確的轉義技巧:
$mysql = array( );
$mysql['username'] = mysql_real_escape_string($clean['username']);
$sql = "select *
from profile
where username = ''";
$result = mysql_query($sql);
?>複製**
php過濾引數特殊字元防注入
php 過濾非法與特殊字串的方法
php例項:特殊字元處理函式的例子
替換超長文字中的特殊字元的php**
PHP快速入門 特殊字元轉義
1.addslashes addslashes對sql語句中的特殊字元進行轉義操作,包括 nul 四個字元,此函式在dbms沒有自己的轉義函式時候使用,但是如果dbms有自己的轉義函式,那麼推薦使用原裝函式,比如mysql有mysql real escape string函式用來轉義sql。注意在p...
php去除富文字特殊字元轉義
html實體字元對照表擷取了一部分 這些編碼的格式 十六進製制 十進位制 是將字元對應的ascii碼轉成10 16進製制加上之後形成。在富文字去除html標籤的時候單引號 轉化成了 解決方式是 先使用preg replace res content preg replace 0 9 e chr 1 ...
php 提交的特殊字元會被自動轉義
在處理mysql和get post的資料時,常常要對資料的引號進行轉義操作。php中有三個設定可以實現自動對 單引號 雙引號 反斜線 和 null 字元轉移。php稱之為魔術引號,這三項設定分別是 magic quotes gpc 影響到 http 請求資料 get,post 和 cookie 不能...