addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入

时间:2022-03-04 14:04:32

一、转义或者转换的目的

    1. 转义或者转换字符串防止sql注入

    2. 转义或者转换字符防止html非过滤引起页面布局变化

    3. 转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式

二、函数

    1. addslashes($str);

        此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)

        转义出现在html中的单引号(‘)和双引号(“),经过测试效果不是很好,转义html中的特字符就使用htmlspecialchar()函数

   2. htmlspecialchars($str);

          此函数只转换5个字符,和号(&),双引号(“),单引号(‘),小于(<),大于(>),转换为实体形式,输出时浏览器会自动还原的,如果有意识的转换回来使用htmlspecialchars_decode();

   3. htmlentities();

        此函数会把所有html表示都转换为实体形式的,如果把thml实体转换为字符使用html_lentity_decode()