PHP中我几个常用安全过滤函数

一、htmlentities() 和htmlspecialchars()

       1、htmlentities()

             1.1  功能：把字符转换为 HTML 实体。字符包括ASCII实体和ISO 8859-1实体(HTML实体对照表：http://www.w3school.com.cn/tags/html_ref_entities.html)

             1.2  语法：htmlentities(string,quotestyle,character-set)

             1.3  参数：string是必选参数，是需要转换的字符串。其余可选，quotestyle规定如何编码单引号和双引号：ENT_COMPAT – 默认。仅编码双引号；ENT_QUOTES – 编码双引号和单引号；ENT_NOQUOTES – 不编码任何引号。character-set是规定转换用的字符集，常用的有UTF-8/GB-2312/ISO-8859-1(默认)。

             1.4  提示：无法被识别的字符集将被忽略，并由 ISO-8859-1 代替。

$str = "John & 'Adams'";
echo htmlentities($str);
//在浏览器中输出：John & 'Adams'
//查看源代码：John & 'Adams'
     2、htmlspecialchars()

           2.1   把一些预定义的字符转换为 HTML 实体。预定义字符都是ASCII 实体，即此函数不能转换ISO 8859-1实体，这是和htmlrntities()的区别

                   预定义的字符是：

& （和号） 成为 &
” （双引号） 成为 "
‘ （单引号） 成为 '
< （小于） 成为 <
> （大于） 成为 >
          2.2   htmlspecialchars(string,quotestyle,character-set)

          2.3   参数htmlentities()

          2.4   提示：无法被识别的字符集将被忽略，并由 ISO-8859-1 代替。

$str = "John & 'Adams'";
echo htmlentities($str);
//在浏览器中输出：John & 'Adams'
//查看源代码：John & 'Adams'

二、html_entity_decode()和htmlspecialchars_decode()

        html_entity_decode(string,quotestyle,character-set) 函数把 HTML 实体转换为字符，是htmlentities()的