【PHP】PHP内置过滤函数总结

0x01 防止SQL注入

addslashes()

将

单引号（'）
双引号（"）
反斜杠（\）
NULL

进行转义

 <?php

$a = $_GET['a'];
$b = addslashes($a);

echo "过滤前 ：";
print_r($a);
echo "<br />过滤后 ：";
print_r($b);
?>

addslashes

mysql_escape_string()

该函数在php4.3的时候被弃用，在php5.3的时候会产生警告，在php7之后彻底移除。

mysql_escape_string不转义%和_

<?php

$a = $_GET['a'];
$b = mysql_escape_string($a);

echo "过滤前 ：";
print_r($a);
echo "<br />过滤后 ：";
print_r($b);
?>

mysql_escape_string

mysql_real_escape_string()

将

单引号（'）
双引号（"）
反斜杠（\）
\n \r \x00 \x1a

进行转义

mysql_real_escape_string()函数跟mysql_escape_string函数作用相同，但是mysql_real_escape_string接受的是一个连接句柄并根据当前字符集转移字符串之外。mysql_escape_string() 并不接受连接参数，也不管当前字符集设定。

本函数在php5.5已弃用，在php7之后被移除，应使用Mysqli和PDO_Mysql来替代。

mysqli_real_escape_string()

该函数作用与mysql_real_escape_string()函数一样，但是是替代mysql_real_escape_string的。

0x02 防止XSS

htmlspecialchars()

把预定义的字符转换为html实体

& (& 符号)         &amp;
" (双引号)         &quot;，除非设置了 ENT_NOQUOTES
' (单引号)         设置了 ENT_QUOTES 后， &#039; (如果是 ENT_HTML401) ，或者 &apos; (如果是 ENT_XML1、 ENT_XHTML 或 ENT_HTML5)。
< (小于)            &lt;
> (大于)            &gt;

默认情况下：

<?php

$a = $_GET['a'];
$b = htmlspecialchars($a);

echo "过滤前 ：";
print_r($a);
echo "<br />过滤后 ：";
print_r($b);

?>

htmlspecialchars

htmlentities()

本函数作用跟htmlspecialchars()一样，但是htmlentites()会转换所有拥有实体的字符。

strip_tag()

去除空字符、HTML 和 PHP 标记后的结果，可以添加第二个参数指定不被去除的字符列表

<?php

$a = $_GET['a'];
$b = strip_tags($a);

echo "过滤前 ：";
print_r($a);
echo "<br />过滤后 ：";
print_r($b);

?>

strip_tags

<?php

$a = $_GET['a'];
$b = strip_tags($a, '<a>');

echo "过滤前 ：";
print_r($a);
echo "<br />过滤后 ：";
print_r($b);

?>

strip_tags

0x03 防止命令执行

escapeshellcmd()

escapeshellcmd() 对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。此函数保证用户输入的数据在传送到 exec() 或 system() 函数，或者执行操作符之前进行转义。

反斜线（\）会在以下字符之前插入：

&
#
;
`
|
*
?
~
<、>
^
(、)
[、]
{、}
$
\
\x0A
\xFF

' 和 " 仅在不配对儿的时候被转义。在 Windows 平台上，所有这些字符以及 % 和 ! 字符都会被空格代替。

<?php

$a = $_GET['a'];
$b = escapeshellcmd($a);

echo "过滤前 ：";
print_r($a);
echo "<br />过滤后 ：";
print_r($b);

?>

escapseshellarg()

把字符串转码为可以在 shell 命令里使用的参数,escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号，这样以确保能够直接将一个字符串传入 shell 函数，并且还是确保安全的。对于用户输入的部分参数就应该使用这个函数。shell 函数包含 exec(), system() 执行运算符

<?php

$a = $_GET['a'];
$b = escapeshellarg($a);

echo "过滤前 ：";
print_r($a);
echo "<br />过滤后 ：";
print_r($b);

?>

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 218,204评论 6赞 506
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 93,091评论 3赞 395
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 164,548评论 0赞 354
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 58,657评论 1赞 293
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 67,689评论 6赞 392
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,554评论 1赞 305
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,302评论 3赞 418
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 39,216评论 0赞 276
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,661评论 1赞 314
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 37,851评论 3赞 336
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,977评论 1赞 348
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,697评论 5赞 347
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,306评论 3赞 330
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,898评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 33,019评论 1赞 270
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 48,138评论 3赞 370
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 44,927评论 2赞 355