PHP - Sanitize Input

Trong PHP, điều quan trọng là đảm bảo rằng dữ liệu đầu vào được làm sạch đúng cách bằng cách loại bỏ bất kỳ ký tự không mong muốn nào trước khi nó được xử lý bởi mã phía máy chủ. Thông thường, người dùng nhập dữ liệu của họ vào một ứng dụng web PHP thông qua một biểu mẫu HTML. Nếu dữ liệu biểu mẫu chứa bất kỳ ký tự không mong muốn nào, nó có thể gây hại, do đó, một thao tác làm sạch phù hợp phải được thực hiện.

Việc làm sạch đầu vào có thể được thực hiện với sự trợ giúp của một hoặc nhiều hàm sau đây trong PHP.

The htmlspecialchars() Function

Hàm này chuyển đổi các ký tự đặc biệt thành thực thể HTML.

htmlspecialchars(
   string $string,
   int $flags = ENT_QUOTES | ENT_SUBSTITUTE | ENT_HTML401,
   ?string $encoding = null,
   bool $double_encode = true
): string

Trong HTML, một số ký tự có ý nghĩa đặc biệt. Hàm htmlspecialchars() được sử dụng để mã hóa các ký tự đặc biệt thành các thực thể HTML. Điều này rất hữu ích khi bạn muốn hiển thị đầu vào của người dùng dưới dạng HTML và muốn ngăn chặn các cuộc tấn công chèn mã.

Các special characters sau đây được dịch như sau −

Character Replaced by
& (ampersand) &
" (double quote) ", unless ENT_NOQUOTES is set
' (single quote) ' (for ENT_HTML401 ) or ' (for ENT_XML1, ENT_XHTML or ENT_HTML5 ), but only when ENT_QUOTES is set
< (less than) &lt;
> (greater than) &gt;

Flag Constants

Tham số flags là một bitmask của một hoặc nhiều cờ sau đây, chỉ định cách xử lý dấu ngoặc kép, các chuỗi đơn vị mã không hợp lệ và loại tài liệu được sử dụng.

Sr.No Constant & Description
1 ENT_COMPAT Will convert double-quotes and leave single-quotes alone.
2 ENT_QUOTES Will convert both double and single quotes.
3 ENT_NOQUOTES Will leave both double and single quotes unconverted.
4 ENT_IGNORE discard invalid code unit sequences instead of returning an empty string.
5 ENT_SUBSTITUTE Replace invalid code unit sequences with a Unicode Replacement Character U+FFFD (UTF-8) or &#xFFFD;
6 ENT_DISALLOWED Replace invalid code points for the given document type with a Unicode Replacement Character U+FFFD (UTF-8) or &#xFFFD; (otherwise) instead of leaving them as is. This may be useful.
7 ENT_HTML401 Handle code as HTML 4.01.
8 ENT_XML1 Handle code as XML 1.
9 ENT_XHTML Handle code as XHTML.
10 ENT_HTML5 Handle code as HTML 5.

Example

Hãy xem xét ví dụ sau −

<?php
   $str = 'Welcome To "PHP Tutorial" by <b>TutorialsPoint</b>';
   echo htmlspecialchars($str);
?>

Nó sẽ tạo ra output 

Welcome To "PHP Tutorial" by <b>TutorialsPoint</b>

The strip_tags() Function

Hàm strip_tags() loại bỏ tất cả các thẻ HTML và PHP khỏi một chuỗi đã cho.

strip_tags(string $string, array|string|null $allowed_tags = null): string

Hàm này rất hữu ích khi bạn muốn đảm bảo rằng dữ liệu đầu vào của người dùng không chứa bất kỳ thẻ nào có thể gây hại.

Tham số allowed_tags là một tham số tùy chọn thứ hai để chỉ định các thẻ không nên bị loại bỏ. Các thẻ này có thể được cung cấp dưới dạng chuỗi hoặc dưới dạng mảng.

Example

Hãy xem xét ví dụ sau −

<?php
   $text = '<p>Hello World</p><!-- Comment --> 
      <a href="/test.html">Click Here</a>';
   echo strip_tags($text);
   echo "\n";

   // Allow <p> and <a>
   echo strip_tags($text, '<p><a>');
?>

Nó sẽ tạo ra output 

Hello World 
      Click Here
Hello World

 
      Click Here

The addslashes() Function

Hàm addslashes() thêm dấu gạch chéo ngược vào một chuỗi.

addslashes(string $string): string

Hàm này trả về một chuỗi với các dấu gạch chéo ngược được thêm vào trước các ký tự cần được thoát. Các ký tự này là −

  • Dấu nháy đơn (')

  • Double Quote (")

  • Dấu gạch chéo ngược (\)

  • NUL (Byte NUL)

Sử dụng hàm này khi bạn đang lưu trữ dữ liệu đầu vào của người dùng trong cơ sở dữ liệu và muốn ngăn chặn các cuộc tấn công SQL injection.

Example

Hãy xem xét ví dụ sau −

<?php
   $text = "Newton's Laws";
   $str = addslashes($text);  

   // prints the escaped string 
   echo($str);  
?>

Nó sẽ tạo ra output 

Newton\'s Laws

The filter_var() Function

Với sự trợ giúp của một cờ bộ lọc cụ thể, bạn có thể sử dụng hàm filter_var() để làm sạch dữ liệu đầu vào của người dùng.

filter_var(mixed $value, int $filter = 
   FILTER_DEFAULT, array|int $options = 0): mixed

Tham số $value là một biến có giá trị cần được làm sạch. Tham số $filter là bất kỳ hằng số bộ lọc nào được định nghĩa trước.

Sr.No ID & Description
1 FILTER_SANITIZE_EMAIL Remove all characters except letters, digits and !#$%&'*+-=?^_`{|}~@.[].
2 FILTER_SANITIZE_ENCODED URL-encode string, optionally strip or encode special characters.
3 FILTER_SANITIZE_ADD_SLASHES Apply addslashes(). (Available as of PHP 7.3.0).
4 FILTER_SANITIZE_NUMBER_FLOAT Remove all characters except digits, +- and optionally .,eE.
5 FILTER_SANITIZE_NUMBER_INT Remove all characters except digits, plus and minus sign.
6 FILTER_SANITIZE_SPECIAL_CHARS HTML-encode '"<>& and characters with ASCII value less than 32, optionally strip or encode other
special characters.
7 FILTER_SANITIZE_FULL_SPECIAL_CHARS Equivalent to calling htmlspecialchars() with ENT_QUOTES set. Encoding quotes can be disabled by setting FILTER_FLAG_NO_ ENCODE_QUOTES .
8 FILTER_SANITIZE_URL Remove all characters except letters, digits and $-_.+!*'(),{}|\\^~[]`<>#%";/?:@&=.
9 FILTER_UNSAFE_RAW

Example

Đoạn mã dưới đây cho thấy cách bạn có thể làm sạch dữ liệu Email −

<?php
   $a = 'abc def@xyz.com';

   $sa = filter_var($a, FILTER_SANITIZE_EMAIL);
   echo "$sa";
?>

Nó sẽ tạo ra output 

abcdef@xyz.com

Example

Đoạn mã sau đây cho thấy cách bạn có thể làm sạch URL −

<?php
   $a = "http://example.c o m";

   $sa = filter_var($a, FILTER_SANITIZE_URL);
   echo "$sa";
?>

Nó sẽ tạo ra output 

http://example.com

» Tin mới nhất

1. PHP Tutorial

2. PHP - Introduction

3. PHP - Installation

4. PHP - History

5. PHP - Features

6. PHP - Syntax

7. PHP - Hello World

8. PHP - Comments

9. PHP - Variables

10. PHP - Echo/Print

11. PHP - var_dump

12. PHP - $ and $$ Variables

13. PHP - Constants

14. PHP - Magic Constants

15. PHP - Data Types

16. PHP - Type Casting

17. PHP - Type Juggling

18. PHP - Strings

19. PHP - Boolean

20. PHP - Integers

21. PHP - Files & I/O

22. PHP - Maths Functions

23. PHP - Heredoc & Nowdoc

24. PHP - Compound Types

25. PHP - File Include

26. PHP - Date & Time

27. PHP - Scalar Type Declarations

28. PHP - Return Type Declarations

29. PHP - Operators

30. PHP - Arithmatic Operators

31. PHP - Comparison Operators

32. PHP - Logical Operators

33. PHP - Assignment Operators

34. PHP - String Operators

35. PHP - Array Operators

36. PHP - Conditional Operators

37. PHP - Spread Operator

38. PHP - Null Coalescing Operator

39. PHP - Spaceship Operator

40. PHP - Decision Making

41. PHP - If…Else Statement

42. PHP - Switch Statement

43. PHP - Loop Types

44. PHP - For Loop

45. PHP - Foreach Loop

46. PHP - While Loop

47. PHP - Do…While Loop

48. PHP - Break Statement

49. PHP - Continue Statement

50. PHP - Arrays

51. PHP - Indexed Array

52. PHP - Associative Array

53. PHP - Multidimensional Array

54. PHP - Array Functions

55. PHP - Constant Arrays

56. PHP - Functions

57. PHP - Function Parameters

58. PHP - Call by value

59. PHP - Call by Reference

60. PHP - Default Arguments

61. PHP - Named Arguments

62. PHP - Variable Arguments

63. PHP - Returning Values

64. PHP - Passing Functions

65. PHP - Recursive Functions

66. PHP - Type Hints

67. PHP - Variable Scope

68. PHP - Strict Typing

69. PHP - Anonymous Functions

70. PHP - Arrow Functions

71. PHP - Variable Functions

72. PHP - Local Variables

73. PHP - Global Variables

74. PHP - Superglobals

75. PHP - $GLOBALS

76. PHP - $_SERVER

77. PHP - $_REQUEST

78. PHP - $_POST

79. PHP - $_GET

80. PHP - $_FILES

81. PHP - $_ENV

82. PHP - $_COOKIE

83. PHP - $_SESSION

84. PHP - File Handling

85. PHP - Open File

86. PHP - Read File

87. PHP - Write File

88. PHP - File Existence

89. PHP - Download File

90. PHP - Copy File

91. PHP - Append File

92. PHP - Delete File

93. PHP - Handle CSV File

94. PHP - File Permissions

95. PHP - Create Directory

96. PHP - Listing Files

97. PHP - Object Oriented Programming

98. PHP - Classes and Objects

99. PHP - Constructor and Destructor

100. PHP - Access Modifiers

101. PHP - Inheritance

102. PHP - Class Constants

103. PHP - Abstract Classes

104. PHP - Interfaces

105. PHP - Traits

106. PHP - Static Methods

107. PHP - Static Properties

108. PHP - Namespaces

109. PHP - Object Iteration

110. PHP - Encapsulation

111. PHP - Final Keyword

112. PHP - Overloading

113. PHP - Cloning Objects

114. PHP - Anonymous Classes

115. PHP - Web Concepts

116. PHP - Form Handling

117. PHP - Form Validation

118. PHP - Form Email/URL

119. PHP - Complete Form

120. PHP - File Inclusion

121. PHP - GET & POST

122. PHP - File Uploading

123. PHP - Cookies

124. PHP - Sessions

125. PHP - Session Options

126. PHP - Sending Emails

127. PHP - Sanitize Input

128. PHP - Post-Redirect-Get (PRG)

129. PHP - Flash Messages

130. PHP - AJAX Introduction

131. PHP - AJAX Search

132. PHP - AJAX XML Parser

133. PHP - AJAX Auto Complete Search

134. PHP - AJAX RSS Feed Example

135. PHP - XML Introduction

136. PHP - Simple XML Parser

137. PHP - SAX Parser Example

138. PHP - DOM Parser Example

139. PHP - Login Example

140. PHP - Facebook Login

141. PHP - Paypal Integration

142. PHP - MySQL Login

143. PHP - MySQL

144. PHP.INI File Configuration

145. PHP - Array Destructuring

146. PHP - Coding Standard

147. PHP - Regular Expression

148. PHP - Error Handling

149. PHP - Try…Catch

150. PHP - Bugs Debugging

151. PHP - For C Developers

152. PHP - For PERL Developers

153. PHP - Frameworks

154. PHP - Core PHP vs Frame Works

155. PHP - Design Patterns

156. PHP - Filters

157. PHP - JSON

158. PHP - Exceptions

159. PHP - Special Types

160. PHP - Hashing

161. PHP - Encryption

162. PHP - is_null() Function

163. PHP - System Calls

164. PHP - HTTP Authentication

165. PHP - Swapping Variables

166. PHP - Closure::call()

167. PHP - Filtered unserialize()

168. PHP - IntlChar

169. PHP - CSPRNG

170. PHP - Expectations

171. PHP - Use Statement

172. PHP - Integer Division

173. PHP - Deprecated Features

174. PHP - Removed Extensions & SAPIs

175. PHP - PEAR

176. PHP - CSRF

177. PHP - FastCGI Process

178. PHP - PDO Extension

179. PHP - Built-In Functions