什么是 html 标签,html 实体
看个简单表格便知:
html标签 | 描述 | html实体 |
< | less than | < |
> | great than | >: |
为什么需要转换
更简了,因为有时候我们需要在浏览器页面中显示 html 标签,然而直接输出<script>alert(1)</script>,在浏览页面时将会被当作 html 标签语言执行,解决方法就是将 html 标签转变为 html 实体再编写到代码中,比如我们要显示 <script> alert(1) </script>, 那么我们的代码中应该这样写: <script>$nbspalert(1)</script>。为什么中间有个 呢?因为细心的朋友可能已经发现了,我在 <script> 和 alert 中间有个空格,也就是说, 就是空格的实体名称。
看官可能会说了,既然代码 <script>$nbspalert(1)</script> 显示的是 <script> alert(1) </script>, 那么如果要显示 <script>$nbspalert(1)</script> 又应该写怎么样的代码呢。道理很简单,一段 文本 ,如果在页面中的显示跟代码不一致,那说明肯定是里面包含了html的关键字,比如上一段代码中就包含了关键字 & ,如果想要在浏览器中显示 & (html 关键字) ,则需要在代码中用它对应的实体来替换掉,& 的实体为 & , 因此要显示 <script>$nbspalert(1)</script> ,需要的代码为 &lt;script&gt;$amp;nbspalert(1)&lt;/script&gt;
下面符上 html 实体列表:
http://baike.baidu.com/view/4757776.htm#3
php html 系列函数
看了上面,你可能会觉得,哇,那每次都要换来换去,眼睛都看花了,有没有什么简单又不会出错的方法呢。答案是肯定的,人类这么懒,什么事情都会有简便方法的。
当然如果你觉得用了这两个函数都是分不清输出什么,显示什么,没关系,你可以采用php cli的方式(即命令行方式)执行一遍上述代码,输出的内容不会被浏览器解释,就是真实的值:
而在浏览器中上述输出会被浏览器解释一遍,即为我们所言的显示的值。
php html 系列的函数有
以上四个函数都是以 html 为前缀的,所以想想就知道和 html 标签有关了。其中 html_entity_decode() 和 htmlspecialchars_decode() 是将html 实体转换为 html 标签的,htmlspecialchars() 和 htmlentities() 是将 html 标签转换为 html 实体的。
下面就来通过代码实现感受一下:
- <?php
- //首先声明一个变量并将一个带有html标签的字符串赋值给它
- $a = "<script>alert(1);</script>
- echo $a; //弹出一个弹出框
- echo htmlentities($a); // 输出 <script>$nbspalert(1)</script> 浏览器中显示 <script> alert(1) </script>
- echo htmlspecialchars($a); //同上
- echo htmlspecialchars(htmlspecialchars($a)); // 输出 &lt;script&gt;$amp;nbspalert(1)&lt;/script&gt; 浏览器中显示 <script>$nbspalert(1)</script> 以此类推
- $b = htmlspecialchars(htmlspecialchars($a)); //注意,实际上 $b 的值为&lt;script&gt;$amp;nbspalert(1)&lt;/script&gt;
- echo htmlspecialchars_decode($b); // 输出 <script>$nbspalert(1)</script> 浏览器中显示 <script> alert(1) </script>
- php > $a = "<script> alert(1);</script>";
- php > echo $a;
- <script> alert(1);</script>
- php > echo htmlentities($a);
- <script> alert(1);</script>
- php > echo htmlspecialchars($a);
- <script> alert(1);</script>
- php > echo htmlspecialchars(htmlspecialchars($a));
- <script> alert(1);</script>
- php > echo $b;
- amp;lt;script> alert(1);</script>
- php > $b = "<script> alert(1);</script>";
- php > echo html_entity_decode(html_entity_decode($b));
- <script> alert(1);</script>
- php >
而在浏览器中上述输出会被浏览器解释一遍,即为我们所言的显示的值。