使用PHP内置函数和正则表达式过滤特殊字符,防止安全风险。首先通过trim()去除空白字符,再用strip_tags()清除HTML和PHP标签,结合htmlspecialchars()转义特殊符号,防止XSS攻击;利用preg_replace()配合正则精准过滤非法字符,如仅保留中文、字母、数字和下划线;对于数据库操作,推荐使用PDO预处理语句避免SQL注入;可选filter_var()进行数据验证与净化,但注意FILTER_SANITIZE_STRING在PHP8.1后已弃用,应改用其他组合方式。统一在数据入口处进行过滤处理,确保应用安全。
在PHP开发中,处理字符串时经常会遇到需要过滤特殊字符或非法字符的情况,比如表单提交、URL参数、数据库插入等场景。不加以处理可能导致安全问题,如SQL注入、XSS攻击或数据格式错误。下面介绍几种常用且有效的过滤方法。
使用内置函数过滤常见特殊字符
PHP提供了多个内置函数,可以快速清理字符串中的非法或危险字符:
- htmlspecialchars():将特殊符号(如 zuojiankuohaophpcn、>、&)转换为HTML实体,防止XSS攻击。适合输出到页面的字符串。
- strip_tags():去除字符串中的HTML和PHP标签,保留纯文本内容。可选允许的标签列表。
- trim():去除字符串首尾空格、换行、制表符等空白字符。
- preg_replace():配合正则表达式,精准过滤或替换指定字符,灵活性高。
$input = "<script>alert('xss')</script> Hello!!!";
$safe = htmlspecialchars(strip_tags($input), ENT_QUOTES, 'UTF-8');
$safe = trim($safe);
// 结果:<script>alert('xss')</script> Hello!!!
自定义正则过滤非法字符
如果只想保留字母、数字、下划线或中文等合法字符,可以用正则表达式清除其他符号。
- 只保留中文、字母、数字和下划线:
preg_replace('/[^\w\x{4e00}-\x{9fa5}]/u', '', $str) - 去除所有非ASCII字符:
preg_replace('/[^\x20-\x7e]/', '', $str) - 过滤连续多个特殊符号,如!!、@@等:
preg_replace('/([!@#$%&*])\1+/', '$1', $str)
结合过滤函数构建安全处理流程
实际项目中建议组合使用多个函数,形成完整的过滤链,提升安全性。
立即学习“PHP免费学习笔记(深入)”;
- 先用 trim() 去除空白字符
- 再用 strip_tags() 去除HTML标签(可限定白名单)
- 然后用 htmlspecialchars() 转义特殊符号
- 最后根据业务需求用 preg_replace() 过滤特定非法字符
如果是用于数据库操作,还需配合 mysqli_real_escape_string() 或使用预处理语句(推荐PDO)。
使用过滤扩展 filter_var()
PHP的Filter扩展提供更专业的数据过滤方式。
- filter_var($str, FILTER_SANITIZE_STRING)(PHP 8前可用):过滤掉标签和编码字符
- 新版推荐使用 FILTER_SANITIZE_FULL_SPECIAL_CHARS 替代旧方法
- 也可验证邮箱:
filter_var($email, FILTER_VALIDATE_EMAIL)
注意:FILTER_SANITIZE_STRING 在 PHP 8.1 后已被弃用,应改用 htmlspecialchars + strip_tags 组合。
基本上就这些常用方法,根据具体需求选择合适的方式,关键是明确哪些字符是“非法”的,并统一处理入口数据。
