php过滤输入操作之htmlentities与htmlspecialchars用法分析(php过滤sql注入)

编辑：rootadmin

推荐整理分享php过滤输入操作之htmlentities与htmlspecialchars用法分析(php过滤sql注入)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:php 参数过滤,php过滤空格,php过滤函数,php过滤字符,php过滤函数,php过滤xss,php过滤函数,php过滤函数,内容如对您有帮助，希望把文章链接给更多的朋友！

本文实例讲述了php过滤输入操作htmlentities与htmlspecialchars用法。分享给大家供大家参考，具体如下：

过滤输入 (即来自所列数据源中的任何数据)是指，转义或删除不安全的字符。在数据到达应用的存储层之前，一定要过滤输入数据。这是第一道防线。假如网站的评论表单接收html，默认情况下访客可以毫无阻拦地在评论中加入恶意的<script>标签，如下标示：

上面例子。如果不过滤这个评论，恶意代码会存入数据库，然后再网站的标记中渲染。

HTML

我们可以使用htmlentities或者htmlspecialchars函数来过滤html，把特殊字符转换成对应的html实体。

htmlentities这个函数转换所有含有对应“html实体”的特殊字符，比如货币表示符号欧元英镑等、版权符号等，htmlspecialchars 只是把某些特殊的字符转义了， & " ' < >

这2个函数比较傻，默认是不会转义单引号的

需要设置第2个参数 ENT_QUOTES，具体可以看php手册

以上例子并不能区别出htmlentities和htmlspecialchars ，下面换上一些特殊的字符，如欧元等。htmlentities将会对此转义，htmlspecialchars却不会

结论：做一般表单提交的时候完全可以用strip_tags去除html标签，如果涉及到富文本编辑器需要保留html标签，可以用htmlspecialchars对提交数据进行过滤。

更多关于PHP相关内容感兴趣的读者可查看本站专题：《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP网络编程技巧总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

php自定义函数br2nl实现将html中br换行符转换为文本输入中换行符的方法【与函数nl2br功能相反】本文实例讲述了php自定义函数br2nl实现将html中br换行符转换为文本输入中换行符的方法。分享给大家供大家参考，具体如下：下面这几个方法将能够帮你

轻松实现php文件上传功能 PHP文件上传通过PHP，可以把文件上传到服务器。本章节实例在test项目下完成，目录结构为：test|-----upload#文件上传的目录|-----form.html#表单文件|-----upload_

PHP常用的三种设计模式一、首先来看，单例模式所谓单例模式，即在应用程序中只会有这个类的一个实例存在。通常单例模式用在仅允许数据库访问对象的实例中，从而防止