在PHP项目开发中,经常会和表单等输入源数据打交道,老码农常说:“任何时候都不要相信用户提交的数据”,所以在数据保存到数据库之前,必须对提交的数据进行过滤。
那么,PHP中有个函数:
> htmlspecialchars(string,quotestyle,character-set)
htmlspecialchars 函数把一些预定义的字符转换为 HTML 实体。
这些预定义字符是:
- & (和号) 成为 &
- ” (双引号) 成为 ”
- ’ (单引号) 成为 ’
- < (小于) 成为 <
- > (大于) 成为 >
好了,这个函数只能对这些预定义字符进行转义,也就是说如果在字符串中包含这些转义字符,那么就进行转义。但是,如果输入不是字符串呢?比如:数组,对象怎么办呢?这时如果直接使用这个函数就会报错。
下面就写一个关于比较完美的关于输入转义的静态方法,可以在需要的地方使用。
class Tools
{
static public function htmlString($_data)
{
if(is_array($_data))
{
foreach($_data as $key=>$value)
{
$_string[$key]=self::htmlString($value); //递归
}
}elseif(is_object($_data)){
$_objects=new stdClass; //stdClass是PHP中的类原型、空类,它是最简单的对象
foreach($_data as $key=>$value)
{
$_objects->$key=self::htmlString($value);
}
}else{
$_string=htmlspecialchars($_data); //如果是数组或对象,就使用递归反复一层层查询,直到找到预定义字符,再使用htmlspecialchars()进行转义。
}
return $_string;
}
}
类和静态方法都定义好了,在需要的地方可以使用:
Tools::htmlString($变量);
进行调用赋值。
好了,就到这里,如果有帮助,点个赞吧,谢谢!
版权声明:本文为weixin_42183037原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。