PHP中处理用户提交的信息

PHP中处理用户提交的信息

发表于 2012 年 3 月 3 日

时刻牢记下面的原则：

不要信任用户输入的任何内容

必须对用户提交的所有内容进行审核和处理。比如，避免运行用户提交HTML和脚本程序等。

PHP中几个处理用户输入的函数

处理字符串

trim()：去掉字符串前后的空格。

nl2br()：将文本输入框中用户敲的回车转成HTML格式的。

wordwrap()：每隔几个字符插入换行符。用于发送电子邮件，每行不能超过70个字符。

htmlspecialchars()

htmlentities()

strip_tags()

以上三个函数可用于阻止XSS攻击。

处理SQL语句

mysqli_real_escape_string()：执行SQL语句前，转义有问题的字符。

上面的函数可用于阻止SQL注入攻击。

编码解码

urlencode()：处理字符串，适应url规则。可用于网址。

表单中数据会自动进行url编码和解码。编码后不用解码