gpt4 book ai didi

php - 为什么调用 mb_convert_encoding 来清理文本?

转载 作者:可可西里 更新时间:2023-11-01 13:20:26 25 4
gpt4 key购买 nike

引用this (excellent) answer .他指出,在 PHP 中转义输入的最佳解决方案是调用 mb_convert_encoding其次是 html_entities .

但为什么要使用相同的传入和传出参数 (UTF8) 调用 mb_convert_encoding?

原答案摘录:

Even if you use htmlspecialchars($string) outside of HTML tags, you are still vulnerable to multi-byte charset attack vectors.

The most effective you can be is to use the a combination of mb_convert_encoding and htmlentities as follows.

$str = mb_convert_encoding($str, 'UTF-8', 'UTF-8');
$str = htmlentities($str, ENT_QUOTES, 'UTF-8');

这是否有我所缺少的某种好处?

最佳答案

并非所有二进制数据都是有效的 UTF8。使用相同的 from/to 编码调用 mb_convert_encoding 是确保处理给定编码的正确编码字符串的一种简单方法。

rfc2279 的第 6 节(安全注意事项)描述了一种利用 UTF8 验证遗漏的方法。 :

Another example might be a parser which prohibits the octet sequence 2F 2E 2E 2F ("/../"), yet permits the illegal octet sequence 2F C0 AE 2E 2F.

通过检查二进制表示可能更容易理解:

110xxxxx 10xxxxxx # header bits used by the encoding
11000000 10101110 # C0 AE
00101110 # 2E the '.' character

换句话说:(C0 AE - header-bits) == '.'

正如引用的文本所指出的,C0 AE 不是有效的 UTF8 八位位组序列,因此 mb_convert_encoding 会将其从字符串中删除(或将其翻译为 '.',或其他东西 :-)。

关于php - 为什么调用 mb_convert_encoding 来清理文本?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1412239/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com