<?php
$str = "A 'quote' is <b>bold</b>";
//Outputs: A 'quote' is <b>bold</b>
echo $str;
// Outputs: A 'quote' is <b>bold</b>
echo htmlentities($str);
// Outputs: A 'quote' is <b>bold</b>
echo htmlentities($str, ENT_QUOTES);
?>
function sanitize($var, $santype = 1){
if ($santype == 1) {return strip_tags($var);}
if ($santype == 2) {return htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8');}
if ($santype == 3)
{
if (!get_magic_quotes_gpc()) {
return addslashes(htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8'));
}
else {
return htmlentities(strip_tags($var),ENT_QUOTES,'UTF-8');
}
}
}
function sanitize_input($input,$escape_mysql=false,$sanitize_html=true,
$sanitize_special_chars=true,$allowable_tags='<br><b><strong><p>')
{
unset($input['submit']); //we use 'submit' variable for all of our form
$input_array = $input;
//array is not referenced when passed into foreach
//this is why we create another exact array
foreach ($input as $key=>$value)
{
if(!empty($value))
{
$input_array[$key]=strtolower($input_array[$key]);
//stripslashes added by magic quotes
if(get_magic_quotes_gpc()){$input_array[$key]=sanitize($input_array[$key]);}
if($sanitize_html){$input_array[$key] = strip_tags($input_array[$key],$allowable_tags);}
if($sanitize_special_chars){$input_array[$key] = htmlspecialchars($input_array[$key]);}
if($escape_mysql){$input_array[$key] = mysql_real_escape_string($input_array[$key]);}
}
}
return $input_array;
}
我覺得這個問題需要一些更多的信息;你是否在談論允許用戶直接輸入HTML,並對其進行消毒以去除像'
我一直使用PHP的和addslashes()和stripslashes()函數的功能,但我也只是看到內置filter_var()函數(link)。看起來好像有很多built-in filters。
來源
2010-04-30 14:21:36 awshepard
爲什麼你使用PHP的addslashes()和stripslashes()函數? – 2010-04-30 14:27:17
如果你想運行使用假設
$_GET['user']
查詢一個很好的解決辦法是使用mysql_real_escape_string()做這樣的事情:如果你想將文本存儲在數據庫中,然後打印出來在網頁上,可以考慮使用htmlentities
[編輯],還是awshepard說,你可以使用addslashes()和stripslashes()功能[/編輯]
這裏是一個小例子消毒的,當談到防止XSS攻擊:
來源
2010-04-30 14:31:11
你的MySQL示例不會打開你SQL注入(你的例子應該使用Prepared Statements) – TeddyN 2010-04-30 15:45:26
我沒有使用Prepared Statements,我使用了mysql_real_escape_string(),就像在我的PHP代碼中一樣,直到現在我無法找到一種方法來利用我寫的代碼。也許我沒有看到可能的攻擊向量,可以繞過mysql_real_escape_string(),所以如果你有一個例子,請讓我知道我總是想學到新東西 – 2010-04-30 17:03:12
@Dr Optix,StackOverflow確認mysql_real_escape_string()並不總是防止SQL注入 - > http: //stackoverflow.com/questions/1220182/does-mysql-real-escape-string-fully-protect-against-sql-injection – TeddyN 2010-04-30 21:48:14
使用
和功能低於,幾乎消毒寄託都u需要
請記住:它不會淨化多維數組,您需要遞歸修改它。
來源
2010-04-30 14:48:24 diEcho