比如在评论框输入如下内容:这是我的评论内容 <script>alert(‘hello 5izixue’)</script>
这个评论内容,如果不进行过滤操作。那么提交后就会以脚本的形式保存下来。如果恶意攻击者,刻意的加入一些危害系统安全的代码,后果会很严重。
所以,我们需要进行数据过滤。那么PHP中常用的过滤操作有哪些呢,可以使用htmlentities或者htmlspecialchars函数来过滤html交互模块上传的内容,把特殊字符转换成对应的html实体。
htmlentities这个函数转换所有含有对应“html实体”的特殊字符,比如货币表示符号欧元英镑等、版权符号等,htmlspecialchars 只是把某些特殊的字符转义了, & ” ‘ < >。
这2个过滤转义函数,默认是不会转义单引号的。
需要转义单引号,需要设置第2个参数 ENT_QUOTES,具体可以看php手册
可用的引号类型:
ENT_COMPAT – 默认。仅编码双引号。
ENT_QUOTES – 编码双引号和单引号。
ENT_NOQUOTES – 不编码任何引号。
无效的编码:
ENT_IGNORE – 忽略无效的编码,而不是让函数返回一个空的字符串。应尽量避免,因为这可能对安全性有影响。
ENT_SUBSTITUTE – 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD; 的字符,而不是返回一个空的字符串。
ENT_DISALLOWED – 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD;。
为说明htmlentities和htmlspecialchars的区别,可以使用下方有特殊字符的代码:
echo htmlentities(‘€ <>”‘); //全部转义
echo “<hr/>”;
echo htmlspecialchars(‘€ <>”‘); //€不会转义
结论:做表单交互时,用户上传的数据一定要做转义过滤。富文本编辑器需要保留html标签,可以用htmlspecialchars对提交数据进行过滤,一般表单提交的时候可以用strip_tags去除html标签。
发表评论 取消回复