PHP中处理用户提交的信息
目录
PHP中处理用户提交的信息
PHP中处理用户提交的信息
发表于 2012 年 3 月 3 日
时刻牢记下面的原则:
不要信任用户输入的任何内容
必须对用户提交的所有内容进行审核和处理。比如,避免运行用户提交HTML和脚本程序等。
PHP中几个处理用户输入的函数
处理字符串
trim():去掉字符串前后的空格。
nl2br():将文本输入框中用户敲的回车转成HTML格式的。
wordwrap():每隔几个字符插入换行符。用于发送电子邮件,每行不能超过70个字符。
htmlspecialchars()
htmlentities()
strip_tags()
以上三个函数可用于阻止XSS攻击。
处理SQL语句
mysqli_real_escape_string():执行SQL语句前,转义有问题的字符。
上面的函数可用于阻止SQL注入攻击。
编码解码
urlencode():处理字符串,适应url规则。可用于网址。
表单中数据会自动进行url编码和解码。编码后不用解码