- PHP 教程
- PHP - 首页
- PHP - 简介
- PHP - 安装
- PHP - 历史
- PHP - 特性
- PHP - 语法
- PHP - Hello World
- PHP - 注释
- PHP - 变量
- PHP - Echo/Print
- PHP - var_dump
- PHP - $ 和 $$ 变量
- PHP - 常量
- PHP - 魔术常量
- PHP - 数据类型
- PHP - 类型转换
- PHP - 类型混合
- PHP - 字符串
- PHP - 布尔值
- PHP - 整数
- PHP - 文件与 I/O
- PHP - 数学函数
- PHP - Heredoc & Nowdoc
- PHP - 复合类型
- PHP - 文件包含
- PHP - 日期与时间
- PHP - 标量类型声明
- PHP - 返回类型声明
- PHP 运算符
- PHP - 运算符
- PHP - 算术运算符
- PHP - 比较运算符
- PHP - 逻辑运算符
- PHP - 赋值运算符
- PHP - 字符串运算符
- PHP - 数组运算符
- PHP - 条件运算符
- PHP - 展开运算符
- PHP - 空值合并运算符
- PHP - 比较运算符
- PHP 控制语句
- PHP - 决策
- PHP - If…Else 语句
- PHP - Switch 语句
- PHP - 循环类型
- PHP - For 循环
- PHP - Foreach 循环
- PHP - While 循环
- PHP - Do…While 循环
- PHP - Break 语句
- PHP - Continue 语句
- PHP 函数
- PHP - 函数
- PHP - 函数参数
- PHP - 按值传递
- PHP - 按引用传递
- PHP - 默认参数
- PHP - 具名参数
- PHP - 可变参数
- PHP - 返回值
- PHP - 传递函数
- PHP - 递归函数
- PHP - 类型提示
- PHP - 变量作用域
- PHP - 严格类型
- PHP - 匿名函数
- PHP - 箭头函数
- PHP - 可变函数
- PHP - 局部变量
- PHP - 全局变量
- PHP 超全局变量
- PHP - 超全局变量
- PHP - $GLOBALS
- PHP - $_SERVER
- PHP - $_REQUEST
- PHP - $_POST
- PHP - $_GET
- PHP - $_FILES
- PHP - $_ENV
- PHP - $_COOKIE
- PHP - $_SESSION
- PHP 文件处理
- PHP - 文件处理
- PHP - 打开文件
- PHP - 读取文件
- PHP - 写入文件
- PHP - 文件是否存在
- PHP - 下载文件
- PHP - 复制文件
- PHP - 追加文件
- PHP - 删除文件
- PHP - 处理 CSV 文件
- PHP - 文件权限
- PHP - 创建目录
- PHP - 列出文件
- 面向对象 PHP
- PHP - 面向对象编程
- PHP - 类和对象
- PHP - 构造函数和析构函数
- PHP - 访问修饰符
- PHP - 继承
- PHP - 类常量
- PHP - 抽象类
- PHP - 接口
- PHP - 特性
- PHP - 静态方法
- PHP - 静态属性
- PHP - 命名空间
- PHP - 对象迭代
- PHP - 封装
- PHP - Final 关键字
- PHP - 重载
- PHP - 克隆对象
- PHP - 匿名类
- PHP Web 开发
- PHP - Web 概念
- PHP - 表单处理
- PHP - 表单验证
- PHP - 表单邮件/URL
- PHP - 完整表单
- PHP - 文件包含
- PHP - GET & POST
- PHP - 文件上传
- PHP - Cookies
- PHP - Sessions
- PHP - Session 选项
- PHP - 发送邮件
- PHP - 输入数据过滤
- PHP - Post-Redirect-Get (PRG)
- PHP - 闪存消息
- PHP 高级
- PHP - MySQL
- PHP.INI 文件配置
- PHP - 数组解构
- PHP - 编码规范
- PHP - 正则表达式
- PHP - 错误处理
- PHP - Try…Catch
- PHP - Bug 调试
- PHP - 针对 C 开发人员
- PHP - 针对 PERL 开发人员
- PHP - 框架
- PHP - Core PHP 与框架
- PHP - 设计模式
- PHP - 过滤器
- PHP - JSON
- PHP - 异常
- PHP - 特殊类型
- PHP - 哈希
- PHP - 加密
- PHP - is_null() 函数
- PHP - 系统调用
- PHP - HTTP 认证
- PHP - 交换变量
- PHP - Closure::call()
- PHP - 过滤后的 unserialize()
- PHP - IntlChar
- PHP - CSPRNG
- PHP - 预期
- PHP - Use 语句
- PHP - 整数除法
- PHP - 已弃用的特性
- PHP - 已移除的扩展和 SAPI
- PHP - PEAR
- PHP - CSRF
- PHP - FastCGI 进程
- PHP - PDO 扩展
- PHP - 内置函数
- PHP 有用资源
- PHP - 速查表
- PHP - 问答
- PHP - 快速指南
- PHP - 在线编译器
- PHP - 有用资源
- PHP - 讨论
PHP - 输入数据过滤
在 PHP 中,确保输入数据经过适当的过滤非常重要,在服务器端代码处理数据之前,需移除任何不需要的字符。通常,用户通过 HTML 表单将数据输入到 PHP Web 应用程序中。如果表单数据包含任何不需要的字符,可能会造成危害,因此必须执行适当的清理操作。
可以使用 PHP 中的一个或多个以下函数进行输入过滤。
htmlspecialchars() 函数
此函数将特殊字符转换为 HTML 实体。
htmlspecialchars( string $string, int $flags = ENT_QUOTES | ENT_SUBSTITUTE | ENT_HTML401, ?string $encoding = null, bool $double_encode = true ): string
在 HTML 中,某些字符具有特殊含义。此 htmlspecialchars() 函数用于将特殊字符编码为 HTML 实体。当您希望将用户输入显示为 HTML 并希望防止脚本注入攻击时,这很有用。
以下特殊字符将按如下所示转换:
| 字符 | 替换为 |
|---|---|
| & (和号) | & |
| " (双引号) | ", 除非设置了ENT_NOQUOTES |
| ' (单引号) | ' (对于ENT_HTML401) 或 ' (对于ENT_XML1, ENT_XHTML 或ENT_HTML5),但仅当设置了ENT_QUOTES 时 |
| < (小于号) | < |
| > (大于号) | > |
标志常量
flags 参数是以下一个或多个标志的位掩码,这些标志指定如何处理引号、无效代码单元序列和使用的文档类型。
| 序号 | 常量 & 描述 |
|---|---|
| 1 | ENT_COMPAT 将转换双引号并保留单引号。 |
| 2 | ENT_QUOTES 将转换双引号和单引号。 |
| 3 | ENT_NOQUOTES 将保留双引号和单引号。 |
| 4 | ENT_IGNORE 丢弃无效代码单元序列,而不是返回空字符串。 |
| 5 | ENT_SUBSTITUTE 将无效代码单元序列替换为 Unicode 替换字符 U+FFFD (UTF-8) 或 �。 |
| 6 | ENT_DISALLOWED 将给定文档类型中无效的代码点替换为 Unicode 替换字符 U+FFFD (UTF-8) 或 � (否则),而不是保留它们。这可能很有用。 |
| 7 | ENT_HTML401 将代码处理为 HTML 4.01。 |
| 8 | ENT_XML1 将代码处理为 XML 1。 |
| 9 | ENT_XHTML 将代码处理为 XHTML。 |
| 10 | ENT_HTML5 将代码处理为 HTML 5。 |
示例
请查看以下示例:
<?php $str = 'Welcome To "PHP Tutorial" by <b>TutorialsPoint</b>'; echo htmlspecialchars($str); ?>
它将产生以下输出:
Welcome To "PHP Tutorial" by <b>TutorialsPoint</b>
strip_tags() 函数
strip_tags() 函数从给定字符串中删除所有 HTML 和 PHP 标记。
strip_tags(string $string, array|string|null $allowed_tags = null): string
当您希望确保用户输入不包含任何潜在的恶意标记时,此函数非常有用。
allowed_tags 参数是一个可选的第二个参数,用于指定不应去除的标记。它们要么以字符串形式给出,要么以数组形式给出。
示例
请查看以下示例:
<?php
$text = '<p>Hello World</p><!-- Comment -->
<a href="/test.html">Click Here</a>';
echo strip_tags($text);
echo "\n";
// Allow <p> and <a>
echo strip_tags($text, '<p><a>');
?>
它将产生以下输出:
Hello World
Click Here
Hello World
Click Here
addslashes() 函数
addslashes() 函数向字符串添加反斜杠。
addslashes(string $string): string
该函数返回一个字符串,在需要转义的字符前添加反斜杠。这些字符是:
单引号 (')
双引号 (")
反斜杠 (\)
NUL (空字节)
当您将用户输入存储到数据库中并希望防止 SQL 注入攻击时,请使用此函数。
示例
请查看以下示例:
<?php $text = "Newton's Laws"; $str = addslashes($text); // prints the escaped string echo($str); ?>
它将产生以下输出:
Newton\'s Laws
filter_var() 函数
借助特定的过滤器标志,您可以使用 filter_var() 函数过滤用户输入。
filter_var(mixed $value, int $filter = FILTER_DEFAULT, array|int $options = 0): mixed
$value 参数是一个需要过滤其值的变量。$filter 参数是任何预定义的过滤器常量。
| 序号 | ID & 描述 | |
|---|---|---|
| 1 | FILTER_SANITIZE_EMAIL 删除除字母、数字和 !#$%&'*+-=?^_`{|}~@.[]. 之外的所有字符。 |
|
| 2 | FILTER_SANITIZE_ENCODED URL 编码字符串,可选地去除或编码特殊字符。 |
|
| 3 | FILTER_SANITIZE_ADD_SLASHES 应用 addslashes()。(从 PHP 7.3.0 开始可用)。 |
|
| 4 | FILTER_SANITIZE_NUMBER_FLOAT 删除除数字、+- 和可选的 .,eE 之外的所有字符。 |
|
| 5 | FILTER_SANITIZE_NUMBER_INT 删除除数字、加号和减号之外的所有字符。 |
|
| 6 | FILTER_SANITIZE_SPECIAL_CHARS HTML 编码 '"<>& 和 ASCII 值小于 32 的字符,可选地去除或编码其他特殊字符。 |
|
| 7 | FILTER_SANITIZE_FULL_SPECIAL_CHARS 等效于调用 htmlspecialchars() 并设置ENT_QUOTES。可以通过设置FILTER_FLAG_NO_ENCODE_QUOTES 来禁用编码引号。 | |
| 8 | FILTER_SANITIZE_URL 删除除字母、数字和 $-_.+!*'(),{}|\\^~[]`<>#%";/?:@&=. |
|
| 9 | FILTER_UNSAFE_RAW |
示例
以下代码展示了如何过滤电子邮件数据:
<?php $a = 'abc [email protected]'; $sa = filter_var($a, FILTER_SANITIZE_EMAIL); echo "$sa"; ?>
它将产生以下输出:
[email protected]
示例
以下代码展示了如何过滤 URL:
<?php $a = "http://example.c o m"; $sa = filter_var($a, FILTER_SANITIZE_URL); echo "$sa"; ?>
它将产生以下输出:
http://example.com