【转】谈一谈PHP字串清除空格函数不安全

清除空格的方法是不安全的,部分缘由是由于字符中的空格很是多,例如 "addslashes的问题在 于黑客 能够用0xbf27来代替单引号，而addslashes只是将0xbf27修改成0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会 被看做是单引号，因此addslashes没法成功拦截。" 

最好是按照具体的参数需求校验肯定是 int 等不是,外加数据库的参数操做方法.其实这个是数据库的 sql 问题,应该从源头数据库自己来解决,只不过有些数据库滑提供相应的方法罢了. 

SQL注入攻击是黑客攻击网站最经常使用的手段。若是你的站点没有使用严格的用户输入检验，那么常容易遭到SQL注入攻击。SQL注入攻击一般经过给站点数据库提交不良的数据或查询语句来实现，极可能使数据库中的纪录遭到暴露，更改或被删除。 

为了防止SQL注入攻击，PHP自带一个功能能够对输入的字符串进行处理，能够在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。若是magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加 上反斜杠。 

但Magic Quotes并非一个很通用的解决方案，没能屏蔽全部有潜在危险的字符，而且在许多服务器上Magic Quotes并无被启用。因此，咱们还须要使用其它多种方法来防止SQL注入。 

许 多数据库自己就提供这种输入数据处理功能。例如PHP的MySQL操做函数中有addslashes()、 mysql_real_escape_string()、mysql_escape_string()等函数，可将特殊字符和可能引发数据库操做出错的字 符转义。那么这三个功能函数之间有什么却别呢？下面咱们就来详细讲述下。 

虽然国内不少PHP程序员仍在依靠addslashes防止SQL注入，仍是建议你们增强中文防止SQL注入的检查。addslashes的问题在 于黑客 能够用0xbf27来代替单引号，而addslashes只是将0xbf27修改成0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会 被看做是单引号，因此addslashes没法成功拦截。 

固然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符仍是用mysql_real_escape_string吧。 

另外对于php手册中get_magic_quotes_gpc的举例： 
if (!get_magic_quotes_gpc()) { 
$lastname = addslashes($_POST[‘lastname']); 
} else { 
$lastname = $_POST[‘lastname']; 
} 
最好对magic_quotes_gpc已经开放的状况下，仍是对$_POST['lastname']进行检查一下。 

再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别： 
mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的状况下才能使用。不然只能用 mysql_escape_string ，二者的区别是：mysql_real_escape_string 考虑到链接的当前字符集，而mysql_escape_string 不考虑。 

总结一下： 

* addslashes() 是强行加； 
* mysql_real_escape_string() 会判断字符集，可是对PHP版本有要求； 
* mysql_escape_string不考虑链接的当前字符集。 

dz中的防止sql注入就是用addslashes这个函数，同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace('/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/', '&\1',这个替换解决了注入的问题，同时也解决了中文乱码的一些问题