htmlspecialchars()何时使用?
htmlspecialchars与大致相同
htmlentities。区别:字符编码。
两个编码控制字符,如
<,
>,
&等等用于打开标签等
htmlentities从像元音变音,欧元符号和这样的其它语言也编码字符。如果您的网站是UTF,请使用
htmlspecialchars(),否则请使用
htmlentities()。
strip_tags()何时使用?
htmlspecialchars/
entities编码特殊字符,因此它们被 显示但未解释 。
strip_tags删除它们。
实际上,这取决于您需要做什么。
一个例子:您已经为论坛编写了代码,并为用户提供了一个文本字段,以便他们可以发布内容。恶意的尝试:
pictures of <a href="javascript:void(window.setInterval(function () {window.open('http://evil.com');}, 1000));">kittens</a> here如果您不执行任何操作,则会显示该链接,并且单击该链接的受害者会弹出很多弹出窗口。
如果您使用htmlentity / htmlspecialchar输出,则文本将保持原样。如果您删除它,它只会删除标签并显示它:
pictures of kittens here
有时您可能想要混合,在其中保留一些标签,例如
<b>(
strip_tags可以在其中保留某些标签)。这也是不安全的,因此最好对XSS使用一些完整的库。
斜线
引用旧版本的PHP手册:
返回一个字符串,该字符串在数据库查询等中需要加引号的字符之前带有反斜杠。这些字符是单引号(’),双引号(“),反斜杠()和NUL( 空 字节)。
在向数据库中输入数据时, addslashes()的 用法示例。例如,要将名称 O’reilly
插入数据库中,您将需要对其进行转义。强烈建议使用DBMS特定的转义功能(例如,对于MySQL,使用mysqli_real_escape_string();对于PostgreSQL,使用pg_escape_string()),但是如果您使用的DBMS没有转义功能,并且DBMS使用来转义特殊字符,则您可以使用此功能。
在目前的版本是不同的措词。
