PHP 中用 htmlspecialchars() 对特殊字符进行编码的弊端 - 代码天地

PHP 中用 htmlspecialchars() 对特殊字符进行编码的弊端

编程语言 2018-05-12 23:42:48 阅读次数: 2

当对表单传递过来的参数用 htmlspecialchars 对特殊字符（& ，' ，" ，< ，> ）进行编码时（由于插入数据库安全过滤的需要），会出现如下问题。

如果用户上传了一个文件是带有特殊字符的，如 ' ，文件名保存到数据库就会发生以下问题。

如果你服务器端的 PHP 代码是通过 $_GET['id'] 间接来获取它的文件名，然后以名称传输到客户端。

<?php    
$name = mysql_query('SELECT name FROM accessories');//通过 ID 获取文件名
//......获取文件......
$file_path = ROOT_PATH . '/uploads/accessories/'. $name;
header ( 'Content-Disposition: attachment; filename=' . urlencode ( $name ) );
header ( 'Content-type: application/octet-stream;' );
header ( 'Content-Length: ' . filesize ( $file_path ) );
readfile ( $file_path );
exit ();
?>

那么下载的时候就会出现如下文件名错误。

个人主页： https://plus.google.com/+sherlockwang/posts

原文链接：http://woqilin.blogspot.com/2012/10/php-htmlspecialchars.html

猜你喜欢

转载自wangzq-phper.iteye.com/blog/2295718

PHP 中用 htmlspecialchars() 对特殊字符进行编码的弊端

PHP htmlspecialchars() 函数

PHP htmlspecialchars() 函数把预定义的字符转换为 HTML 实体

PHP字符串函数htmlspecialchars( 把特殊字符转换为HTML实体)

PHP字符串函数htmlspecialchars_decode( 把特殊HTML实体转换为普通字符)

PHP htmlspecialchars_decode() 函数

解决PHP中htmlspecialchars返回null的问题

XSS绕过之PHP htmlspecialchars() 函数

PHP5.4以上版本GBK编码下htmlspecialchars输出为空问题解决方法汇总

htmlspecialchars_decode把html转换为字符

php5.4后htmlspecialchars输出为空的问题

java处理html标签实现类似php的htmlspecialchars_qwotes

PHP 表单验证 - $_GET 和 $_POST、防攻击的htmlspecialchars()

PHP中addslashes()和htmlspecialchars() 函数的区别及应用

php中htmlspecialchars()和addslashes()函数的使用和区别

htmlentities（）与htmlspecialchars（）

htmlspecialchars() 函数

关于htmlspecialchars

PHP表单安全过滤和防注入 htmlspecialchars() 和test_input()

php 使用htmlspecialchars() 和strip_tags函数过滤HTML标签的区别

防止sql注入-PHP防SQL注入不要再用addslashes和htmlspecialchars()和addslashes()函数了

PHP - 实战中用到的 “字符” 有关的自定义函数

JS中用replace替换特殊字符

样式中用到的特殊字符和符号

centos 7 中用yum安装 php 7.0

自己总结的php开发中用到的工具

PHP中用Trait封装单例模式

php中自带过滤与转义函数 htmlspecialchars() htmlentities() strip_tags() base64_decode() base64_encode()

htmlspecialchars 防止XSS攻击

magic quote gpc htmlspecialchars

今日推荐

开源日报 | Chrome内置Gemini的意义不在于Gemini；中国AI追随之路的五大误区；ECharts创始人“下海”养鱼；谷歌I/O开发者大会什么都有，只是没有惊喜

微软回应中国区AI团队“打包赴美”传闻

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

《2024 年一季度互联网投融资运行情况》研究报告

报告：Django 仍然是 74% 开发者的首选

周排行

返回指定时间格式

fopen函数中的mode参数

Java 单例模式探讨

Flex remoteobject工作原理探讨

寻找mplayer的便捷安装方法

30天了解30种技术系列---(26)MySQL自动化运维工具Inception

关于Jboss/Tomcat/Jetty的JNDI定义123

程序减肥，strip，eu-strip 及其符号表

AsyncTask、View.post(Runnable)、ViewTreeObserver三种方式总结frame animation自动启动

Json和Bean的互相转换

每日归档

更多

2024-05-15(24)

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)