经常使用的安全函数

Web应用中，安全是相当重要的，比写出漂亮的简洁的代码更为重要，那么今天我们就来聊聊PHP中有哪些安全（过滤）函数

PHP的安全函数

• addslashes
  • string addslashes ( string $str )
  • 使用反斜线引用字符串
  • 该字符串为了数据库查询语句等的须要在某些字符前加上了反斜线。
  • 这些字符是单引号（'）、双引号（"）、反斜线（\）与 NUL（NULL 字符）。
  • 一个使用 addslashes() 的例子是当你要往数据库中输入数据时。
  • 例如，将名字 O'reilly 插入到数据库中，这就须要对其进行转义。
  • 强烈建议使用 DBMS 指定的转义函数 （好比 MySQL 是 mysqli_real_escape_string()，PostgreSQL 是 pg_escape_string()），可是若是你使用的 DBMS 没有一个转义函数，而且使用 \ 来转义特殊字符，你可使用这个函数。
  • 仅仅是为了获取插入数据库的数据，额外的 \ 并不会插入。
  • 当 PHP 指令 magic_quotes_sybase 被设置成 on 时，意味着插入 ' 时将使用 ' 进行转义。
  • PHP 5.4 以前 PHP 指令 magic_quotes_gpc 默认是 on， 实际上全部的 GET、POST 和 COOKIE 数据都用被 addslashes() 了。
  • 不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes()，由于这样会致使双层转义。
  • 遇到这种状况时可使用函数 get_magic_quotes_gpc() 进行检测。

$str = "Is your name O'reilly?";
echo addslashes($str);  // 输出： Is your name O\'reilly?

• htmlspecialchars

  • 将特殊字符转换为 HTML 实体
  • string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = TRUE ]]] )
  • 某类字符在 HTML 中有特殊用处，如需保持原意，须要用 HTML 实体来表达。
  • 本函数会返回字符转义后的表达。
  • 如需转换子字符串中全部关联的名称实体，使用 htmlentities() 代替本函数。

• htmlentities

  • string htmlentities ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = true ]]] )
  • 将字符转换为 HTML 转义字符
  • 本函数各方面都和 htmlspecialchars() 同样， 除了 htmlentities() 会转换全部具备 HTML 实体的字符。
  • 若是要解码（反向操做），可使用 html_entity_decode()。

• strip_tags

  • 从字符串中去除 HTML 和 PHP 标记
  • string strip_tags ( string $str [, string $allowable_tags ] )
  • 该函数尝试返回给定的字符串 str 去除空字符、HTML 和 PHP 标记后的结果。它使用与函数 fgetss() 同样的机制去除标记。

$text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>';
echo strip_tags($text);
echo "\n";

// 容许 <p> 和 <a>
echo strip_tags($text, '<p><a>');