安全处理用户输入-优快云博客

转换字符串中的特殊符号为HTML标记

编写Web互动网页时，安全问题是一定要考虑的。一个不可忽略的问题就是对用户提交信息的处理。如果用户提交了恶意HTML代码，机会影响到其他用户的使用，甚至会造成系统瘫痪。所以编写互动Web网页时，出于安全考虑要对用户提交内容中的HTML代码进行处理。

在PHP中有一个函数实现这样的功能，把用户提交的内容（字符串）中的特殊符号转换成HTML标记。这个函数就是htmlspecialchars().

htmlspecialchars(string string)函数，实现功能：将字符串参数String中的特殊符号<如<、>、等>转换为HTML标记。具体转换内容如下：

&，转换成&

"，转换成"

<，转换成<

>，转换成>

下面通过一个实例来说明，如何使用htmlspecialchars()函数对字符串进行转换处理。

<html>
<head>
<title>转换字符串的特殊符号为HTML标记使用实例</title>
</head>
<body>
<?php
$s="我爱北京天安门！";
echo htmlspecialchars($s,ENT_QUOTES,'GB2312' ) . "";
$s2="天安门上太阳升！" . "";
echo htmlspecialchars($s2,ENT_QUOTES ,'GB2312') . "";
echo"s=" . $s;
echo"";
echo "s2=" . $s2;

?>
</body>
</html>

关于htmlspecialchars()函数返回空字符串的问题：

string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = 'UTF-8' [, bool $double_encode = true ]]] )

看到函数第三个参数默认是UTF-8编码，如果代码中使用的编码不是UTF-8则要指定这个参数。

输出：

我爱北京天安门！

天安门上太阳升！

s=我爱北京天安门！

s2=天安门上太阳升！

常用字符串函数：

string chop(string ,charlist)函数，删除指定字符串，返回值为处理后的字符串，默认删除（

"\0" - ASCII 0, NULL
"\t" - ASCII 9, 制表符
"\n" - ASCII 10, 新行
"\x0B" - ASCII 11, 垂直制表符
"\r" - ASCII 13, 回车
" " - ASCII 32, 空格

）。

string ltrim(string ,charlist)函数，功能与chop类似，charlist为指定删除的字符，默认删除（

"\0" - ASCII 0, NULL
"\t" - ASCII 9, 制表符
"\n" - ASCII 10, 新行
"\x0B" - ASCII 11, 垂直制表符
"\r" - ASCII 13, 回车
" " - ASCII 32, 空格

）。

string md5(string str)函数，把字符串str进行MD5加密，并把加密后的字符串作为函数的返回值返回，这个函数在处理用户密码的时候经常用到，一般是把用户的密码经过md5()函数加密后再入库

string nl2br(string str)函数，把字符串str中的回车换行转换为HTML标记中的 ，并把处理结果返回。这也是很有用的函数，特别是用在用户提交的内容存在换行时，使用这个函数就能保持用户输入的格式

string str_replace(string needle,string str,string haystack)函数，haystack中的needle字符串被str替换掉。

测试：

<?php
$str = "I love china \n
hello";
echo "str: " . $str;
echo " ";
echo "ltrim: " . ltrim($str);
echo " ";
echo "chop: " . chop($str);
echo " ";
echo "md5: " . md5($str);
echo "";
echo "nl2br: " . nl2br($str);
echo "";
echo "str_replace: " . str_replace("love","like",$str);
?>