Функции stripslashes htmlspecialchars

@sunjan · Регистрация: 02.04.2014

Студворк — интернет-сервис помощи студентам

гуглю зачем нужны функции stripslashes и htmlspecialchars,но все равно не осознаю зачем оно надо.stripslashes вроде как удаляет экранирование символов и если ее не применять,то "код будет уязвим",не совсем осознаю что такое экранирование символов и в чем там будет уязвимость. Объясните,пожалуйста на пальцах что да как.

htmlspecialchars — Преобразует специальные символы в HTML-сущности.А если не преобразовывать?Я получу кусок собственного кода в браузере?Или как?

@Jewbacabra · 07.06.2015, 10:44

Сообщение от sunjan

stripslashes вроде как удаляет экранирование символов и если ее не применять,то "код будет уязвим"

Не так.

Сообщение от sunjan

не совсем осознаю что такое экранирование символов

Например, нужно присвоить переменной типа строка значение одинарная кавычка

PHP
1
2
3
$quote = '''; // тут будет ошибка
$quote = '\''; // тут кавычка внутри сроки отделяется от внешних с помощью слеша
echo $quote; // выведет только '

Так же если включены magic quotes, данный полученный через $_POST, $_GET, $_COOKIE и т.д. будут добавлены слеши перед ', ", \. И если их выводить, символ \ уже попадет в вывод, что не всегда нужно. stripslashes позволяет удалять такие \.

Сообщение от sunjan

htmlspecialchars — Преобразует специальные символы в HTML-сущности.А если не преобразовывать?

Например, есть страница с комментариями. Я добавлю новый комментарий: <div>, и верстка сломалась. htmlspecialchars заменит это на <div> Это еще самый безобидный вариант, можно так добавить любой скрипт, это будет так называемая xss-атака

@sunjan · 07.06.2015, 12:50 **[ТС]**

советы по предотвращению проведения XSS атак.

Запретите включение напрямую параметров $_GET, $_POST, $_COOKIE в генерируемую HTML-страницу. Рекомендуем использовать альтернативные функции и параметры.

htmlspecialchars в этом и помогает?

я понял,что

Сообщение от Jewbacabra

stripslashes позволяет удалять такие \.

Сообщение от Jewbacabra

Например, нужно присвоить переменной типа строка значение одинарная кавычка

А зачем вообще могут понадобиться одинарные кавычки?(я пока мало что знаю на эту тему)

@Jewbacabra · 07.06.2015, 13:17

Сообщение от sunjan

htmlspecialchars в этом и помогает?

помогает

Сообщение от sunjan

А зачем вообще могут понадобиться одинарные кавычки?

стандартный текстовый символ.

@sunjan · 07.06.2015, 13:23 **[ТС]**

Сообщение от Jewbacabra

Например, нужно присвоить переменной типа строка значение одинарная кавычка

Сообщение от Jewbacabra

стандартный текстовый символ.

логично=)

А подскажете еще не по теме?)У меня была форма регистрации без шифроввания пароля,теперь я добавил шифрование и пользователи,которые были добавлены до этого не могут авторизоваться.Пишет неверный логин и/или пароль.Это как то можно исправить или надо "перерегистрировать" пользователей?

@Jewbacabra · 07.06.2015, 13:25

Сообщение от sunjan

Это как то можно исправить или надо "перерегистрировать" пользователей?

зашифровать пароли всех старых пользователей.

@sunjan · 07.06.2015, 14:12 **[ТС]**

Сообщение от Jewbacabra

зашифровать пароли всех старых пользователей.

это в БД как-то можно сделать или в коде прописывать?

KOPOJI · 07.06.2015, 19:14

смотря что за шифрование. Если какой-то из известных вашей БД, то можно написать нечто наподобие такого

SQL
1
UPDATE `table` SET `password` = MD5(`password`)

MD5 для примера, не в курсе, что у вас используется. Если же нет такой функции - то писать самому код, тоже ничего сложного, запрос примерно такой же, только пароль вычисляется уже на стороне PHP.

@sunjan · 07.06.2015, 19:35 **[ТС]**

KOPOJI,

PHP
1
 $password = md5('salt'.$password.'salt');

а вот такое шифрование можно расшифровать?)Ну то есть это нормально,что я в myAdmin вижу зашифрованный пароль?или я где-то накосячил?

KOPOJI · 07.06.2015, 19:44

Нет ничего невозможного в нашем бренном мире.. (с)
З.Ы. Вообще говоря, это хеширование, а не обычное шифрование. Хеширование == необратимое шифрование. Но алгоритм достаточно уязвим. Сам автор уже не советует им пользоваться, есть другие функции - sha1 и т.п.
В новых версиях пыха появились специальные функции - hash_password (или password_hash, не помню) и т.д., до этого рекомендовалось пользоваться функцией crypt.

Добавлено через 2 минуты
При должном использовании - нормальной соли и т.д. взломать алгоритм тяжело. Да, он подвержен коллизиям и все такое, но все равно, он достаточно сложен для взлома. Если же не использовать соль и при условии более-менее стандартного пароля - то легко подобрать пароль при помощи радужных таблиц.

@sunjan · 08.06.2015, 09:46 **[ТС]**

Сообщение от Jewbacabra

htmlspecialchars заменит это на <div>

а почему именно так заменит?и код у меня php а используется функция для html.почему?

Новые блоги и статьи Все статьи Все блоги /
Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .
Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .	Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .

@sunjan 12 / 7 / 7 Регистрация: 02.04.2014 Сообщений: 342

	Функции stripslashes htmlspecialchars 07.06.2015, 10:13. Показов 4199. Ответов 10 Метки нет (Все метки) гуглю зачем нужны функции stripslashes и htmlspecialchars,но все равно не осознаю зачем оно надо.stripslashes вроде как удаляет экранирование символов и если ее не применять,то "код будет уязвим",не совсем осознаю что такое экранирование символов и в чем там будет уязвимость. Объясните,пожалуйста на пальцах что да как. htmlspecialchars — Преобразует специальные символы в HTML-сущности.А если не преобразовывать?Я получу кусок собственного кода в браузере?Или как? 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	07.06.2015, 19:44
	Нет ничего невозможного в нашем бренном мире.. (с) З.Ы. Вообще говоря, это хеширование, а не обычное шифрование. Хеширование == необратимое шифрование. Но алгоритм достаточно уязвим. Сам автор уже не советует им пользоваться, есть другие функции - sha1 и т.п. В новых версиях пыха появились специальные функции - hash_password (или password_hash, не помню) и т.д., до этого рекомендовалось пользоваться функцией crypt. Добавлено через 2 минуты При должном использовании - нормальной соли и т.д. взломать алгоритм тяжело. Да, он подвержен коллизиям и все такое, но все равно, он достаточно сложен для взлома. Если же не использовать соль и при условии более-менее стандартного пароля - то легко подобрать пароль при помощи радужных таблиц. 1