PHP 中用 htmlspecialchars() 对特殊字符进行编码的弊端_PHP

您所在的位置：程序员俱乐部 > 编程开发 > PHP > PHP 中用 htmlspecialchars() 对特殊字符进行编码的弊端

PHP 中用 htmlspecialchars() 对特殊字符进行编码的弊端

2016/5/12 5:33:47 王之子程序员俱乐部我要评论(0)

摘要：当对表单传递过来的参数用htmlspecialchars对特殊字符（&，'，"，<，>）进行编码时（由于插入数据库安全过滤的需要），会出现如下问题。如果用户上传了一个文件是带有特殊字符的，如'，文件名保存到数据库就会发生以下问题。如果你服务器端的PHP代码是通过$_GET['id']间接来获取它的文件名，然后以名称传输到客户端。<?php$name=mysql_query('SELECTnameFROMaccessories');//通过ID获取文件名//.....
标签：PHP 编码

monospace;">? ? 当对表单传递过来的参数用 htmlspecialchars 对特殊字符（& ，' ，" ，< ，>?）进行编码时（由于插入数据库安全过滤的需要），会出现如下问题。

? ?

? ? 如果用户上传了一个文件是带有特殊字符的，如 ' ，文件名保存到数据库就会发生以下问题。

? ? 如果你服务器端的 PHP 代码是通过 $_GET['id'] 间接来获取它的文件名，然后以名称传输到客户端。

class="php" name="code"><?php    
$name = mysql_query('SELECT name FROM accessories');//通过 ID 获取文件名
//......获取文件......
$file_path = ROOT_PATH . '/uploads/accessories/'. $name;
header ( 'Content-Disposition: attachment; filename=' . urlencode ( $name ) );
header ( 'Content-type: application/octet-stream;' );
header ( 'Content-Length: ' . filesize ( $file_path ) );
readfile ( $file_path );
exit ();
?>?

? ?那么下载的时候就会出现如下文件名错误。