快捷導(dǎo)航

PHP字符轉(zhuǎn)義相關(guān)函數(shù)小結(jié)(php下的轉(zhuǎn)義字符串)

更新時(shí)間：2007年04月12日 00:00:00 作者：

PHP字符轉(zhuǎn)義相關(guān)函數(shù)小結(jié),有時(shí)候?yàn)榱税踩鹨?jiàn)，我們需要對(duì)用戶(hù)輸入的字符串進(jìn)行轉(zhuǎn)義

文章中有不正確的或者說(shuō)辭不清的地方，麻煩大家指出了～～～

與PHP字符串轉(zhuǎn)義相關(guān)的配置和函數(shù)如下：
1.magic_quotes_runtime
2.magic_quotes_gpc
3.addslashes()和stripslashes()
4.mysql_escape_string()
5.addcslashes()和stripcslashes()
6.htmlentities() 和html_entity_decode()
7.htmlspecialchars()和htmlspecialchars_decode()

當(dāng)magic_quotes_runtime打開(kāi)時(shí)，php的大部分函數(shù)自動(dòng)的給從外部引入的(包括數(shù)據(jù)庫(kù)或者文件)數(shù)據(jù)中的溢出字符加上反斜線(xiàn)。
可以使用set_magic_quotes_runtime()與get_magic_quotes_runtime()‍設(shè)置和檢測(cè)其狀態(tài)。
注意：PHP5.3.0以上的版本已將這兩個(gè)函數(shù)廢棄，也就說(shuō)在PHP5.3.0或以上版本時(shí)該選項(xiàng)已經(jīng)為關(guān)閉了。
‍
magic_quotes_gpc設(shè)置是否自動(dòng)為GPC(GET,POST,COOKIE)傳來(lái)的數(shù)據(jù)中的某些字符進(jìn)行轉(zhuǎn)義，
可以使用get_magic_quotes_gpc()檢測(cè)其設(shè)置。
如果沒(méi)有打開(kāi)這項(xiàng)設(shè)置，可以使用addslashes()函數(shù)添加給字符串進(jìn)行轉(zhuǎn)義

addslashes()‍ 在指定的預(yù)定義字符前添加反斜杠。
預(yù)定義字符包括單引號(hào)（'）、雙引號(hào)（"）、反斜線(xiàn)（\）與 NUL（NULL 字符）。
以上是W3SCHOOL.COM.CN給出的解釋俺一直覺(jué)的不是很準(zhǔn)確
因?yàn)樵趍agic_quotes_sybase=on時(shí)它將單引號(hào)（'）轉(zhuǎn)換成雙引號(hào)(") 在magic_quotes_sybase=off時(shí)才將單引號(hào)(')轉(zhuǎn)換成(\')
stripslashes()函數(shù)的功能與addslashes()‍正好相反，它的功能是去除轉(zhuǎn)義的效果。

mysql_escape_string() 轉(zhuǎn)義 SQL語(yǔ)句中使用的字符串中的特殊字符。‍
這里的特殊包括（\x00）、（ \n）、（ \r ）、（\）、（ '）、（"）、（ \x1a）

addcslashes()‍以C 語(yǔ)言風(fēng)格使用反斜線(xiàn)轉(zhuǎn)義字符串中的字符，這個(gè)函數(shù)很少人去用，但是應(yīng)該注意的是：當(dāng)選擇對(duì)字符 0，a，b，f，n，r，t 和 v 進(jìn)行轉(zhuǎn)義時(shí)，它們將被轉(zhuǎn)換成 \0，\a，\b，\f，\n，\r，\t 和 \v。在 PHP 中，只有 \0（NULL），\r（回車(chē)符），\n（換行符）和 \t（制表符）是預(yù)定義的轉(zhuǎn)義序列，而在 C 語(yǔ)言中，上述的所有轉(zhuǎn)換后的字符都是預(yù)定義的轉(zhuǎn)義序列。同理stripcslashes()的功能就是去除其轉(zhuǎn)義。

htmlentities() 把字符轉(zhuǎn)換為 HTML 實(shí)體。（什么是HTML實(shí)體？自己GOOGLE吧～～）
具體參數(shù)請(qǐng)見(jiàn)這里，其逆反的函數(shù)html_entity_decode() -‍把 HTML 實(shí)體轉(zhuǎn)換為字符。

htmlspecialchars()函數(shù)把一些預(yù)定義的字符轉(zhuǎn)換為 HTML 實(shí)體。
這些預(yù)定義的字符是：
& （和號(hào)）成為 &
" （雙引號(hào)）成為 "
' （單引號(hào)）成為 '
< （小于）成為 <
> （大于）成為 >
‍詳細(xì)參數(shù)請(qǐng)見(jiàn)這里，其逆反函數(shù)是htmlspecialchars_decode() 把一些預(yù)定義的 HTML 實(shí)體轉(zhuǎn)換為字符。

一點(diǎn)自己的體會(huì)：
>>多次的單引號(hào)轉(zhuǎn)義可能引起數(shù)據(jù)庫(kù)的安全問(wèn)題
>> 不建議使用mysql_escape_string 來(lái)進(jìn)行轉(zhuǎn)義，建議在獲取用戶(hù)輸入時(shí)候進(jìn)行轉(zhuǎn)義
>> 由于set_magic_quotes_runtime()‍在PHP5.3.0和以后版本已被廢棄了，所以之前的版本建議統(tǒng)一配置關(guān)閉：

復(fù)制代碼代碼如下:

 
if(phpversion() < '5.3.0') { 
set_magic_quotes_runtime(0); 
} 

‍>> 無(wú)法通過(guò)函數(shù)來(lái)定義magic_quotes_gpc,因此建議在服務(wù)器上統(tǒng)一開(kāi)啟，寫(xiě)程序的時(shí)候應(yīng)該在來(lái)判斷下，避免沒(méi)開(kāi)啟GPC引起安全問(wèn)題
通過(guò)addslashes對(duì)GPC進(jìn)行時(shí)候轉(zhuǎn)義時(shí)，應(yīng)注意當(dāng)用戶(hù)提交數(shù)組數(shù)據(jù)時(shí)對(duì)鍵值和值的過(guò)濾

復(fù)制代碼代碼如下:

 
if(!get_magic_quotes_gpc()) { 
$_GET = daddslashes($_GET); 
$_POST = daddslashes($_POST); 
$_COOKIE = daddslashes($_COOKIE); 
$_FILES = daddslashes($_FILES); 
} 
function daddslashes($string, $force = 1) { 
if(is_array($string)) { 
foreach($string as $key => $val) { 
unset($string[$key]); 
$string[addslashes($key)] = daddslashes($val, $force); 
} 
} else { 
$string = addslashes($string); 
} 
return $string; 
} 

‍>> 利用在用戶(hù)輸入或輸出時(shí)候轉(zhuǎn)義HTML實(shí)體以防止XSS漏洞的產(chǎn)生！

今天碰到一個(gè)處理文件特殊字符的事情，再次注意到這個(gè)問(wèn)題，在php中：

* 以單引號(hào)為定界符的php字符串，支持兩個(gè)轉(zhuǎn)義\'和\\
* 以雙引號(hào)為定界符的php字符串，支持下列轉(zhuǎn)義：
    \n 換行（LF 或 ASCII 字符 0x0A（10））
    \r 回車(chē)（CR 或 ASCII 字符 0x0D（13））
    \t 水平制表符（HT 或 ASCII 字符 0x09（9））
    \\ 反斜線(xiàn)
    \$ 美元符號(hào)
    \" 雙引號(hào)
    \[0-7]{1,3}               此正則表達(dá)式序列匹配一個(gè)用八進(jìn)制符號(hào)表示的字符
    \x[0-9A-Fa-f]{1,2}  此正則表達(dá)式序列匹配一個(gè)用十六進(jìn)制符號(hào)表示的字符

舉幾個(gè)例子:

一個(gè)包含\0特殊字符的例子：

$str = "ffff\0ffff";
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");

輸出結(jié)果：
----------------------

9
        102     102     102     102     0       102     102     102     102

替換特殊字符的例子

$str = "ffff\0ffff";
$str = str_replace("\x0", "", $str);
//或者用$str = str_replace("\0", "", $str);
//或者用$str = str_replace(chr(0), "", $str);
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
輸出結(jié)果：
----------------------
8
        102     102     102     102     102     102     102     102

八進(jìn)制ascii碼例子：

//注意，符合正則\[0-7]{1,3}的字符串，表示一個(gè)八進(jìn)制的ascii碼。
$str = "\0\01\02\3\7\10\011\08\8";  //這里的\8不符合要求，被修正為"\\8" （ascii為92和56）
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
輸出結(jié)果：
----------------------
11
        0       1       2       3       7       8       9       0       56      92      56

十六進(jìn)制ascii碼例子：

$str = "\x0\x1\x2\x3\x7\x8\x9\x10\x11\xff";
echo(strlen($str));
echo("\n");
for($i=0;$i<strlen($str);$i++)echo("\t".ord($str{$i}));
echo("\n");
輸出結(jié)果：
----------------------
10
        0       1       2       3       7       8       9       16      17      255

您可能感興趣的文章: