addslashes逃避SQL语句中的特殊字符,包括(的),(),(),(空)四个字,不使用此功能时,他们的逃生功能的数据库,如果数据库有自己的逃生功能,然后介绍原函数的使用,如MySQL mysql_real_escape_string功能用来逃避的SQL语句。注意在PHP5.3,magic_quotes_gpc是默认打开的。它主要执行addslashes操作得到美元美元,后美元的饼干,所以不需要反复调用addslashes对这些变量,否则将双逃逸。然而,magic_quotes_gpc被遗弃在PHP5.3,和已被删除从php5.4开始。如果你使用PHP的最新版本,你可以不用担心这个问题。Stripslashes是的unescape addslashes函数。
2。htmlspecialchars
htmlspecialchars变成HTML几个特殊字符为HTML实体形式(格式:XXXX;),包括(),(),(),(),()五字。
(和)
(双引号)= >(当ent_noquotes设置不当)
(单引号)= >(当ent_quotes集)
<
>大于(大于)
htmlspecialchars可以用来过滤后得到美元,美元,美元,防止XSS cookie数据。注意,htmlspecialchars函数只是为了逃避HTML字符有隐患。如果你想逃避所有的HTML字符,可以转让,使用htmlentities.htmlspecialchars_decode是解码函数htmlspecialchars。
三.htmlentities
htmlentities变成可以逃跑的HTML转换成HTML entity.html_entity_decode内容解码函数htmlentities。
4。mysql_real_escape_string
mysql_real_escape_string调用库函数mysql_real_escape_string MySQL,并将意义(设备)、(),( R),(()),( X1A),即加反斜杠()在前面,防止SQL注入。注意,你不需要在stripslashes读取数据库中的数据unescape,因为反斜杠被添加到数据库中,当执行SQL,当数据被写入数据库时,反斜杠将被删除,所以数据库的内容写入原始数据,而不是在反斜杠前面。
5。strip_tags
strip_tags滤出空,HTML和PHP标签。
6。结论
PHP's own security function does not completely avoid XSS, and it is recommended to use HTML Purifier
