php中htmlspecialchars()和addslashes()函数的使用和区别 | 您所在的位置:网站首页 › addslashes函数功能是什么 › php中htmlspecialchars()和addslashes()函数的使用和区别 |
最近读代码发现了一个出现非常频繁的函数addslashes(),经查阅发现功能与htmlspecialchars()相似,他们到底有什么区别呢? 在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经null前加“\”进行转义 如:如变量$str=$_POST["str"];的值为:bb' or 1='1。通过addslashes()函数过滤后会变为:bb\' or 1=\'1; 2)htmlspecialchars()作用及使用 htmlspecialchars()也是对字符进行转义,与addslashes()不同的是htmlspecialchars()是将特殊字符用引用实体替换。 如alert('xss')通过htmlspecialchars()过滤后为;script;alert('xss');/script 3)addslashes()与htmlspecialchars()的区别 除了两个函数的转义方式不同外,它们的使用也不同。 addslashes()通过用于防止sql语句注入,在执行sql语句前对通过get、post和cookie传递来的参数中的单引号,双引号,\ 和null进行转义。 但sql执行成功后,插入到数据库中的数据是不带有转义字符\的。这是如果插入到数据库中的是一些js脚本,当这些脚本被读取出来时还是会被执行。 这时我们可对读取出来的数据使用htmlspecialchars()进行过滤,避免执行被注入的脚本。 |
今日新闻 |
推荐新闻 |
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 |