PHP用htmlspecialchars()函数对表单等输入数据的深度过滤

  • Post author:
  • Post category:php


在PHP项目开发中,经常会和表单等输入源数据打交道,老码农常说:“任何时候都不要相信用户提交的数据”,所以在数据保存到数据库之前,必须对提交的数据进行过滤。

那么,PHP中有个函数:

> htmlspecialchars(string,quotestyle,character-set)

htmlspecialchars 函数把一些预定义的字符转换为 HTML 实体。

这些预定义字符是:

  • & (和号) 成为 &
  • ” (双引号) 成为 ”
  • ’ (单引号) 成为 ’
  • < (小于) 成为 <
  • > (大于) 成为 >

好了,这个函数只能对这些预定义字符进行转义,也就是说如果在字符串中包含这些转义字符,那么就进行转义。但是,如果输入不是字符串呢?比如:数组,对象怎么办呢?这时如果直接使用这个函数就会报错。

下面就写一个关于比较完美的关于输入转义的静态方法,可以在需要的地方使用。

class Tools
{
	static public function htmlString($_data)
	{
		if(is_array($_data))
		{
			foreach($_data as $key=>$value)
			{
				$_string[$key]=self::htmlString($value); //递归
			}
		}elseif(is_object($_data)){
			$_objects=new stdClass; //stdClass是PHP中的类原型、空类,它是最简单的对象
			foreach($_data as $key=>$value)
			{
				$_objects->$key=self::htmlString($value);
			}
		}else{
			$_string=htmlspecialchars($_data);  //如果是数组或对象,就使用递归反复一层层查询,直到找到预定义字符,再使用htmlspecialchars()进行转义。
		}
		return $_string;
	}
}

类和静态方法都定义好了,在需要的地方可以使用:

Tools::htmlString($变量);

进行调用赋值。

好了,就到这里,如果有帮助,点个赞吧,谢谢!



版权声明:本文为weixin_42183037原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。