为什么用要HTMLSpecialChars

最新推荐文章于 2020-05-13 15:13:11 发布
最新推荐文章于 2020-05-13 15:13:11 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: 前台技术 文章标签: html less 数据库 浏览器 文档 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/macky0668/article/details/5061428
版权
为什么用要HTMLSpecialChars
 

这个函数将一些特殊字符转换一下.
比如说
'&' (ampersand) becomes '&'
'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
' <' (less than) becomes '&lt;'
'>' (greater than) becomes '&gt;'

在插入前转换很大的一部分原因是执行sql时产生错误,比如说 " '之类的.
读数据的时候不需要转换是因为 不论&还是&amp;浏览器都能识别.


如果不用HTMLSpecialChars,,就会导致读取时,要把" <script>"之类的HTML标签“原本”的输出,而这一输出就有漏洞了,万一那个插入数据库的人是黑客,插入的不是一般的字符串,而是 “ <script> <b> <body>”等等之类的东西,读取后,就是一个HTML文档之类的东西,这样,他可以利用这个漏洞欺骗其他人,或者借这个漏洞攻击别人等等,搞个框架跳转到某一网站等等操作。

macky0668
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
php5.4以上版本GBK编码下htmlspecialchars输出为空问题解决方法汇总
10-24
主要介绍了php5.4以上版本GBK编码下htmlspecialchars输出为空问题解决方法汇总,本文给出多种解决这个问题的方法,需要的朋友可以参考下
浅谈htmlentities 、htmlspecialchars、addslashes的使用方法
10-20
然而,需要注意的是,如果服务器的`magic_quotes_gpc`设置为开启,PHP会自动对输入数据进行`addslashes`操作,因此在这种情况下再使用`addslashes`可能会导致不必要的双层转义。可以使用`get_magic_quotes_gpc()`...
为什么要用htmlspecialchars()来处理用户提交的数据
Jay_Kwok的博客
05-13 610
刚开始不理解,后面查了一些资料大概懂了 $_SERVER[“PHP_SELF”] 变量有可能会被黑客使用! 当黑客使用跨网站脚本的HTTP链接来攻击时,SERVER["PHPSELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的,因此_SERVER["PHP_SELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的,因此S​ERVER["PHPS​ELF"]服务器变量也会被植入脚本。原因就是跨网站脚本是附在执行文件的路径后面的,因此_SERVER[“PH
php shtmlspecialchars 函数 详解
wolinxuebin的专栏
07-23 4651
作者:林子木  wolinxuebin 转载请保留:http://blog.csdn.net/wolinxuebin     由于还是码农新人,所以还未开始正式的编写大的工程代码,所以老员工给了我一个去年写的大的PHP工程的工程代码,先看下。抱着必须扫清每个死角的心里,下午碰到了 shtmlspecialchars()函数,网上一查挺多人都在用的,但不是PHP自带的,而是莫比较官方的写的
htmlspecialchars用法
aFightCoder的专栏
10-28 974
htmlspecialchars (PHP3 , PHP4) htmlspecialchars ---  转换特殊字元成为HTML实体 语法 :  string htmlspecialchars (string string) 说明 : 在HTML中有些字元有着特殊的含义,如果要保留它们的意义则需要以HTML实体来表示它,此函数传回转换后的字符串。 此函数用在预防使用者提供的文字
做php时提交数据到数据库一定记得要注意该加htmlspecialchars()的一定要加
gayayzy的专栏
02-10 2178
做php时提交数据到数据库一定记得要注意该加htmlspecialchars()的一定要加,像这样的小错误: 如果没加那个函数,我就提交这样的数据: 这样的数据。 这样的结果是不会让浏览者中毒的,而是会让页面在两秒后自动刷新并跳转到http://www.gayayang.com这个网站。 记住这句代码:很有用的。
htmlspecialchars(),addslashes()详解_PHP
疯狂的简洁
03-25 3368
默认你已经了解HTML字符实体 $html = ""; 1.htmlspecialchars($html) 作用:传入字符串$html,将$html中包含 应用场景:     a.想在HTML中直接显示源码(等同右击=>查看源码效果),此时可以使用htmlspecialchars()对想输出的源码进行转义;     b.文本过滤:在表单页,防止恶意注入,如在输入框中输入,此时使
php 去除html标记--strip_tags与htmlspecialchars的区别详解
10-27
在PHP中,处理HTML字符串时,我们经常...例如,先使用`strip_tags`去除HTML标签,再用`htmlspecialchars`处理剩余的字符,可以更有效地防止XSS攻击。了解并熟练掌握这两个函数,对于编写安全、健壮的PHP代码至关重要。
php htmlspecialchars加强版
10-29
加强版htmlspecialchars
PHP htmlspecialchars()函数用法与实例讲解
10-17
今天小编就为大家分享一篇关于PHP htmlspecialchars()函数用法与实例讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
htmlspecialchars和htmlentities区别是使用场景
AKmumu的专栏
01-27 1635
一直都知道 PHP 中的 htmlentities 和 htmlspecialchars 函数都能把 html 中的特殊字符转换成对应的 character entity (不知道怎么翻译),也一直都知道 htmlentities 和 htmlspecialchars 函数有区别,但是一直都用不到这两个函数,也就没去研究过到底有什么区别。 今天用到了,懒得看 PHP 手册里的鸟语,觉得这种问
htmlspecialchars() 函数的用法及过滤XSS的问题
滴水石穿
08-31 5935
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,char...
htmlspecialchars() 函数过滤XSS的问题
qlxmy的博客
03-05 1万+
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 &" (双引号)成为 "' (单引号)成为 '> (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,character-set,double_en
XSS 攻击时怎么绕过 htmlspecialchars 函数呢?
热门推荐
qq_14989227的博客
07-26 1万+
作者:梧桐雨 链接:https://www.zhihu.com/question/27646993/answer/42865322 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1: 源码如下: <?php $name = $_GET["name"]; $name =
htmlspecialchars()
dissmmp的博客
04-03 1483
当你编辑文本的时候会自然而然的用到html标签,而有的时候,我们不希望html标签被浏览器识别,所以我们就用到了这个函数。我们可以利用这个函数把html标签转化为浏览器不能识别的字符,或者可以这么理解,利用这个函数转化以后,html标签就可以在浏览器原样输出了。htmlspecialchars()函数,具有三个参数,第一个参数为必选参数,表示待处理的字符串,第二个参数为可选参数,专门针对字符串中的...
htmlspecialchars方法
最新发布
03-27
htmlspecialchars方法是一种PHP函数,用于将字符串中的特殊字符转换为HTML实体,以避免这些字符被浏览器解释为HTML标签或JavaScript代码。特殊字符包括小于号(<)、大于号(>)、引号(")、单引号(')、和符号(&)等。 该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值