网络语言系列&php系列【仅供参考】:PHP常用的安全函数作用

原创 于 2025-08-09 20:41:23 发布 · 759 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #安全 #开发语言

PHP常用的安全函数作用



PHP常用的安全函数作用

在PHP开发中,安全是非常重要的一个方面。以下是一些常用的PHP安全函数及其作用:

这些函数和方法有助于提升PHP应用的安全性,但安全是一个综合性的问题,需要综合使用多种手段,如输入验证、输出编码、会话管理、错误处理等。

1. htmlspecialchars()

  • 作用:将预定义的字符转换为HTML实体。主要用于防止跨站脚本攻击(XSS)。

  • 用法:htmlspecialchars($string, ENT_QUOTES | ENT_HTML401, 'UTF-8')

2. htmlentities()

  • 作用:将所有适用的字符转换为HTML实体。类似于htmlspecialchars(),但转换更多字符。

  • 用法:htmlentities($string, ENT_QUOTES | ENT_HTML401, 'UTF-8')

3. filter_var()

  • 作用:通过指定的过滤器过滤变量。可以用来验证和清理用户输入数据。

  • 用法:filter_var($variable, FILTER_VALIDATE_EMAIL)(示例:验证电子邮件地址)

4. addslashes()

  • 作用:在预定义的字符前添加反斜杠。主要用于转义SQL语句中的特殊字符,防止SQL注入。不过更推荐使用预处理语句(prepared statements)。

  • 用法:addslashes($string)

5. mysqli_real_escape_string()

  • 作用:转义SQL语句中的特殊字符。用于在构建SQL查询时防止SQL注入。

  • 用法:mysqli_real_escape_string($connection, $string)

6. PDO(预处理语句)

作用:

通过绑定参数来执行SQL语句,防止SQL注入。推荐使用PDO而不是直接使用mysqli。

用法:
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");  
$stmt->bindParam(':username', $username, PDO::PARAM_STR);  
$stmt->execute();

7. hash()

  • 作用:生成字符串的哈希值。用于密码存储,通常结合password_hash()和password_verify()使用。

  • 用法:hash('sha256', $string)(虽然不推荐直接使用hash()存储密码)

8. password_hash() 和 password_verify()

作用:

生成安全的密码哈希值和验证密码。

用法:
$hash = password_hash($password, PASSWORD_BCRYPT);  
if (password_verify($password, $hash)) {  
    // 密码正确  
}

9. strip_tags()

  • 作用:从字符串中去除HTML和PHP标签。用于清理用户输入数据,防止XSS攻击。

  • 用法:strip_tags($string, '<a><b>')(可选参数允许保留特定的标签)

10. csrf_token()(自定义或框架提供的函数)

  • 作用:生成和验证CSRF令牌,防止跨站请求伪造攻击(CSRF)。

  • 用法:具体实现依赖于使用的框架或自定义实现。






ac-er8888

PHP常用的安全函数作用

PHP中8个鲜为人知的安全函数分析
DhGrad_Bias的博客
10-02 165
除了广为人知的安全函数外,PHP还提供了一些鲜为人知的安全函数,这些函数可以帮助开发人员增强应用程序的安全性。在本文中,我们将介绍PHP中8个鲜为人知的安全函数,并提供相应的源代码示例。请记住,安全性是一个持续的努力,除了使用这些函数外,还应该采取其他安全措施来保护应用程序的安全性。函数描述:比较两个字符串的哈希值是否相等,使用了时间恒定比较的算法,避免了时序攻击。函数描述:生成指定长度的随机字节序列,用于生成安全的令牌、密钥等。函数描述:使用安全的密码哈希算法对密码进行加密。
php常用的几个安全函数
qinshi501的博客
01-11 660
这个函数对于在PHP中防止SQL注入攻击很有帮助,它对特殊的字符,像单引号和双引号,加上了“反斜杠”,确保用户的输入在用它去查询以前已经是安全的了。但你要注意你是在连接着数据库的情况下使用这个函数。但现在mysql_real_escape_string()这个函数基本不用了,所有新的应用开发都应该使用像PDO这样的库对数据库进行操作,也就是说,我们可以使用现成的语句防止SQL注入攻击。这个函数和上面的mysql_real_escape_string()很相似。
8个很有用的PHP安全函数,你知道几个?
淡忘~浅思
11-16 1471
原文:Useful functions to provide secure PHP application 译文:有用的PHP安全函数 译者:dwqs 安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。 在PHP中,有些
PHP安全函数
weixin_30510153的博客
07-04 128
定义和用法 addslashes() addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(') 双引号(") 反斜杠(\) NULL 默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。...
PHP中的安全函数
weixin_34248705的博客
09-11 138
安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击...
php安全函数
kitt15的博客
06-21 620
&amp;lt;?php /* [Destoon B2B System] Copyright (c) 2008-2014 Destoon.COM This is NOT a freeware, use is subject to license.txt */ defined('IN_DESTOON') or exit('Access Denied');//是否由定义了IN_DESTOON的...
php mysql函数注入_渗透学习笔记之php+ mysql注入(二)
weixin_30811273的博客
01-19 281
1如果权限为root或者比较大的权限,可以尝试跨裤注入,一般适用在站群2php绕过安全机制php安全函数 1 有哪些 2 作用 3 注入时的特征 4 可不可以绕过1. addslashesaddslashes 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。一个使用 addslashes() ...
php 怎么打开安全函数,PHP安全函数
weixin_35997246的博客
03-19 117
最近读完了《白帽子讲Web安全》一书,觉得在WEB开发安全是个非常重要的事情,但实际上工程师常抱有侥幸心理,认为这是小概率事件,但是不出事则已,一出事则非常严重,闲话少续,说说PHP中的几个跟安全相关的函数以及可用的方案。 1. addslashes addslashe最近读完了《白帽子讲Web安全》一书,觉得在WEB开发安全是个非常重要的事情,但实际上工程师常抱有侥幸心理,认为这是小概率事件...
PHP 8大安全函数
11-26 232
1.mysql_real_escape_string() 这个函数对于在PHP中防止SQL注入攻击很有帮助,它对特殊的字符,像单引号和双引号,加上了“反斜杠”,确保用户的输入在用它去查询以前已经是安全的了。但你要注意你是在连接着数据库的情况下使用这个函数。 但现在mysql_real_escape_string()这个函数基本不用了,所有新的应用开发都应该使用像PDO这样的库对数据...
PHP常用安全函数作用
最新发布
sheji888的专栏
11-06 742
这些函数和方法有助于提升PHP应用的安全性,但安全是一个综合性的问题,需要综合使用多种手段,如输入验证、输出编码、会话管理、错误处理等。在PHP开发中,安全是非常重要的一个方面。
7个增强 PHP 程序安全函数
u014313075的博客
02-06 574
作为一个合格的PHP程序员,必须要牢记一句格言,那就是“永远不能相信那些用户输入的数据”。在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等。一起看看PHP常用的确保安全函数(注意,这并不是完整的列表)。 1. addslashes()        这个函数的原理跟mysql_re
防止注入的一些PHP转义函数
qq_28786023的博客
10-10 2857
本文仅介绍PHP中的一些转义函数的使用。 互联网中一切的输入都不可信,有用户可以自由输入的地方就可能存在着安全漏洞。转义函数的使用就是为了提高系统的安全性,防止潜在的攻击,如SQL注入,XSS攻击等。本文介绍六个函数,分别是: addcslashes(); addslashes(); mysql_real_escape_string(); htmlspecialchars(); htmlentities(); strip_tags(); 1.addcslashes()函数及addslashes()函数 ad
centos云服务器安装cs(cobaltstrike4
2401_84253380的博客
04-26 589
wget https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz #下载jdk压缩包tar -zxvf jdk-8u201-linux-x64.tar.gz #解压解压完之后生成一个jdk1.8.0_201文件mv jdk1.8.0_201 /usr/local/jdk1.8/ #把jdk1.8.0_201文件移动到usr/local/jdk1.8/目录下配置环境变量。
一些基本PHP函数安全问题
cul1n的博客
02-16 1000
在我们进行 CTF 比赛中,经常会看到一些关于 PHP 代码审计的题目,这些题目的意义是旨在帮助我们练习提升代码审计能力。那么本篇文章,着重去记录关于 PHP 中重点的函数、运算符等相关知识点,从代码层面上记录其与安全性有关的知识点。本篇文章中我们总结了PHP
[后端代码审计] PHP 危险函数
Da1NtY的博客
08-09 1580
PHP 中有一些函数是比较危险的,也是进行PHP代码审计需要重点关注的内容
RCE函数利用
Ciyaso的博客
07-22 1300
1.代码注入 ①eval() eval ( string $code ) : mixed 说明:eval()把字符串code 作为PHP代码执行。 Caution函数eval()语言结构是非常危险的,因为它允许执行任意PHP代码。它这样用是很危险的。如果您仔细的确认过,除了使用此结构以外别无方法,请多加注意,不要允许传入任何由用户提供的、未经完整验证过的数据。 PS:传入的必须是有效的 PHP 代码。所有的语句必须以分号结尾。 return 语句会立即中止当前字符串的执行。 代码执行的作用域是调用 eva
禁用PHP中16个高危函数
退役熬夜选手的博客
07-12 472
功能描述:用于在 PHP 运行时改变系统字符集环境。功能描述:可通过 popen() 的参数传递一条命令,并对 popen() 所打开的文件进行执行。功能描述:是 ini_set() 函数的一个别名函数,功能与 ini_set() 相同。功能描述:在 PHP 进行运行过程当中(而非启动时)加载一个 PHP 外部模块。功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。功能描述:允许执行一个外部程序并回显输出,类似于 exec()。功能描述:执行一个命令并打开文件指针用于读取以及写入。
8个常用PHP安全函数
探索者科技的博客
08-10 1326
安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全函数。今天,我们就来看看,在著名的开源语言PHP中,有哪些有用的安全函数。在PHP中,有些很有用的函数,防止你的网站遭受各种攻击,例如SQL
PHP中的危险函数全解析
★昔梦无痕★
08-12 1428
在编译 PHP 时,如无特殊需要,一定禁止编译生成 CLI 命令行模式的 PHP 解析支持。可在编译时使用 –disable-CLI。一旦编译生成 CLI 模式的PHP,则可能会被入侵者利用该程序建立一个WEB Shell 后门进程或通过PHP 执行任意代码。phpinfo()功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。危险等级:中passthru()功
PHP函数库查询辞典:全面的函数参考手册
PHP函数库查询辞典》是一本专为PHP开发者设计的实用工具书,旨在全面系统地整理和解析PHP语言中所有常用及核心函数的功能、语法、参数说明、返回值类型以及实际应用示例。该辞典不仅适用于初学者快速掌握PHP编程...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值