如何在接受 PHP 中的位置地址时只接受某些特殊字符？

Question

我想接受一个地点的地址并将其输入我的数据库。如果我将地址作为参数发送给以下函数，它将删除所有初始和结束空格以及所有特殊字符

 public function sanitizeString($string){
        $sanitized_string = htmlentities(mysqli_real_escape_string($this->conn, trim($string)));
        return $sanitized_string;
    }

但正如我们在

之类的地址中所知道的那样

1/A Grand Trunk Road, Kolkata - 31

需要考虑一些特殊字符，例如 '/'、'-'、'、'。

我基本上想将某些地方的地址存储在我的数据库中，并使用 Google Maps GeoCoding API 将它们转换为纬度和经度，并使用标记在 Google Map 上标记它们。

任何人都可以建议我如何清理地址以保持某些特殊字符完整或其他存储地点地址的方法吗？

编辑

对于那些询问的人，我在处理数据库查询时确实使用 PDO 准备语句。这是一个例子

public function getUserByEmailAndPassword($email, $password){
        $stmt= $this->conn->prepare("select * from users where email= ? and status=1");
        $stmt->bind_param("s", $email);

        if($stmt->execute()){
            $user= $stmt->get_result()->fetch_assoc();
            $stmt->close();
            return $user;
        }
        else{
            return NULL;
        }
    }

但在我将 $email 作为参数传递之前，我正在使用 mysqli_real_escape_string 对其进行清理，我可能不需要这样做，因为我认为 prepare 和 bind_param 负责 sql 注入。

Answer 1

作为一般规则，在使用 PDO 时，您不要尝试将 WHEN INSERTING 值清理到数据库中。我们准备了语句和参数绑定选项来防止sql注入

现在，当您实际使用存储在数据库中的信息（可能包含恶意代码）时，您总是在回显任何内容时使用函数htmlspecialchars()。例如：

//if you obtained the info from your database as follows:
$row = $stmt->fetch();

//then you can output it as follows:
echo htmlspecialchars($row['address']);

并且您的代码将受到 sql 注入（如果您在最初将信息插入数据库时​​使用准备好的语句和绑定参数）和带有函数 htmlspecialchars() 的 XSS 的保护