另外一個(gè)Web應(yīng)用安全的基礎(chǔ)是對輸出進(jìn)行轉(zhuǎn)義或?qū)μ厥庾址M(jìn)行編碼，以保證原意不變。例如，O’Reilly在傳送給MySQL數(shù)據(jù)庫前需要轉(zhuǎn)義成O’Reilly。單引號前的反斜杠代表單引號是數(shù)據(jù)本身的一部分，而不是并不是它的本義。

我所指的輸出轉(zhuǎn)義具體分為三步：

l識別輸出

l輸出轉(zhuǎn)義

l區(qū)分已轉(zhuǎn)義與未轉(zhuǎn)義數(shù)據(jù)

只對已過濾數(shù)據(jù)進(jìn)行轉(zhuǎn)義是很有必要的。盡管轉(zhuǎn)義能防止很多常見安全漏洞，但它不能替代輸入過濾。被污染數(shù)據(jù)必須首先過濾然后轉(zhuǎn)義。

在對輸出進(jìn)行轉(zhuǎn)義時(shí)，你必須先識別輸出。通常，這要比識別輸入簡單得多，因?yàn)樗蕾囉谀闼M(jìn)行的動作。例如，識別到客戶端的輸出時(shí)，你可以在代碼中查找下列語句：

echo

print

printf

<?=

作為一項(xiàng)應(yīng)用的開發(fā)者，你必須知道每一個(gè)向外部系統(tǒng)輸出的地方。它們構(gòu)成了輸出。

象過濾一樣，轉(zhuǎn)義過程在依情形的不同而不同。過濾對于不同類型的數(shù)據(jù)處理方法也是不同的，轉(zhuǎn)義也是根據(jù)你傳輸信息到不同的系統(tǒng)而采用不同的方法。

對于一些常見的輸出目標(biāo)（包括客戶端、數(shù)據(jù)庫和URL）的轉(zhuǎn)義，PHP中有內(nèi)置函數(shù)可用。如果你要寫一個(gè)自己算法，做到萬無一失很重要。需要找到在外系統(tǒng)中特殊字符的可靠和完整的列表，以及它們的表示方式，這樣數(shù)據(jù)是被保留下來而不是轉(zhuǎn)譯了。

最常見的輸出目標(biāo)是客戶機(jī)，使用htmlentities( )在數(shù)據(jù)發(fā)出前進(jìn)行轉(zhuǎn)義是最好的方法。與其它字符串函數(shù)一樣，它輸入是一個(gè)字符串，對其進(jìn)行加工后進(jìn)行輸出。但是使用htmlentities( )函數(shù)的最佳方式是指定它的兩個(gè)可選參數(shù)：引號的轉(zhuǎn)義方式（第二參數(shù)）及字符集（第三參數(shù)）。引號的轉(zhuǎn)義方式應(yīng)該指定為ENT_QUOTES，它的目的是同時(shí)轉(zhuǎn)義單引號和雙引號，這樣做是最徹底的，字符集參數(shù)必須與該頁面所使用的字符集相必配。

為了區(qū)分?jǐn)?shù)據(jù)是否已轉(zhuǎn)義，我還是建議定義一個(gè)命名機(jī)制。對于輸出到客戶機(jī)的轉(zhuǎn)義數(shù)據(jù)，我使用$html數(shù)組進(jìn)行存儲，該數(shù)據(jù)首先初始化成一個(gè)空數(shù)組，對所有已過濾和已轉(zhuǎn)義數(shù)據(jù)進(jìn)行保存。

CODE:

<?php

$html = array( );

$html[’username’] = htmlentities($clean[’username’], ENT_QUOTES, ’UTF-8’);

echo '<p>Welcome back, {$html[’username’]}.</p>';

?>

小提示

htmlspecialchars( )函數(shù)與htmlentities( )函數(shù)基本相同，它們的參數(shù)定義完全相同，只不過是htmlentities( )的轉(zhuǎn)義更為徹底。

通過$html[’username’]把username輸出到客戶端，你就可以確保其中的特殊字符不會被瀏覽器所錯(cuò)誤解釋。如果username只包含字母和數(shù)字的話，實(shí)際上轉(zhuǎn)義是沒有必要的，但是這體現(xiàn)了深度防范的原則。轉(zhuǎn)義任何的輸出是一個(gè)非常好的習(xí)慣，它可以戲劇性地提高你的軟件的安全性。

另外一個(gè)常見的輸出目標(biāo)是數(shù)據(jù)庫。如果可能的話，你需要對SQL語句中的數(shù)據(jù)使用PHP內(nèi)建函數(shù)進(jìn)行轉(zhuǎn)義。對于MySQL用戶，最好的轉(zhuǎn)義函數(shù)是mysql_real_escape_string( )。如果你使用的數(shù)據(jù)庫沒有PHP內(nèi)建轉(zhuǎn)義函數(shù)可用的話，addslashes( )是最后的選擇。

下面的例子說明了對于MySQL數(shù)據(jù)庫的正確的轉(zhuǎn)義技巧：

CODE:

<?php

$mysql = array( );

$mysql[’username’] = mysql_real_escape_string($clean[’username’]);

$sql = 'SELECT *

FROM profile

WHERE username = ’{$mysql[’username’]}’';

$result = mysql_query($sql);

?>