多字节字符串上的 str_replace() 危险吗？ [复制]

给定某些多字节字符集，我假设以下内容没有达到预期目的是否正确？

$string = str_replace('"', '\\"', $string);

特别是，如果输入的字符集中可能包含 0xbf5c 等有效字符，则攻击者可以注入 0xbf22 来获取 0xbf5c22，留下有效字符，后跟不带引号的双引号 (")。

有没有一种简单的方法可以缓解这个问题，或者我首先误解了这个问题？

（在我的例子中，字符串将进入 HTML 输入标记的 value 属性： echo 'input type="text" value="' . $string . '">';）

编辑：就此而言，像 preg_quote() 这样的函数怎么样？它没有字符集参数，所以在这种情况下它似乎完全没用。当您无法选择将字符集限制为 UTF-8 时（是的，这很好），看起来您确实有障碍。在这种情况下有哪些替换和引用功能可用？

不，您是对的：对多字节字符串使用单字节字符串函数可能会导致意外结果。使用多字节字符串函数相反，例如mb_ereg_replace or mb_split:

$string = mb_ereg_replace('"', '\\"', $string);
$string = implode('\\"', mb_split('"', $string));

Edit这是一个mb_replace使用 split-join 变体实现：

function mb_replace($search, $replace, $subject, &$count=0) {
    if (!is_array($search) && is_array($replace)) {
        return false;
    }
    if (is_array($subject)) {
        // call mb_replace for each single string in $subject
        foreach ($subject as &$string) {
            $string = &mb_replace($search, $replace, $string, $c);
            $count += $c;
        }
    } elseif (is_array($search)) {
        if (!is_array($replace)) {
            foreach ($search as &$string) {
                $subject = mb_replace($string, $replace, $subject, $c);
                $count += $c;
            }
        } else {
            $n = max(count($search), count($replace));
            while ($n--) {
                $subject = mb_replace(current($search), current($replace), $subject, $c);
                $count += $c;
                next($search);
                next($replace);
            }
        }
    } else {
        $parts = mb_split(preg_quote($search), $subject);
        $count = count($parts)-1;
        $subject = implode($replace, $parts);
    }
    return $subject;
}

至于参数的组合，该函数的行为应类似于单字节str_replace.