php的ent_quotes,php – htmlspecialchars&ENT_QUOTES不工作?

最新推荐文章于 2023-05-11 13:49:26 发布
最新推荐文章于 2023-05-11 13:49:26 发布
阅读量400 收藏
点赞数
文章标签: php的ent_quotes

你是如何准确测试它的?

//sanitize data from db before displaying on webpage

function htmlsan($htmlsanitize){

return $htmlsanitize = htmlspecialchars($htmlsanitize, ENT_QUOTES, 'UTF-8');

}

var_dump(htmlsan('<>\'"'));

…打印:

string(20) "<>'""

我的猜测是你的输入字符串来自Microsoft Word并包含印刷引号:

var_dump(htmlsan('“foo”')); // string(9) "“foo”"

如果你因任何原因需要转换它们,你需要htmlentities()而不是htmlspecialchars():

var_dump(htmlentities('“foo”', ENT_QUOTES, 'UTF-8')); // string(17) "“foo”"

更新#1

好吧,是时候进行一些适当的测试了.在注释数据库字段中键入单引号(‘)并在检索时运行以下代码:

var_dump(bin2hex("'"));

var_dump(htmlspecialchars("'", ENT_QUOTES, 'UTF-8'));

var_dump(bin2hex($row['comment']));

var_dump(htmlspecialchars($row['comment'], ENT_QUOTES, 'UTF-8'));

它应该打印这个:

string(2) "27"

string(6) "'"

string(2) "27"

string(6) "'"

请更新您的问题并确认您是否运行此测试并获得相同或不同的输出.

更新#2

请仔细查看您声称获得的输出:

string(6) "'"

这不是一个包含6个字符的字符串.您没有查看实际输出:您正在查看浏览器呈现的输出.我很确定你得到了预期的结果,即string(6)“'”.如果你渲染'用网络浏览器变成’.使用浏览器中的“查看源”菜单查看实际输出.

一路的欢乐长久~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP htmlspecialchars_decode()函数用法讲解
10-17
echo htmlspecialchars_decode($str, ENT_QUOTES); ``` 这将解码字符串中的所有引号。 3. 当 `flags` 设置为 `ENT_NOQUOTES` 时,不会解码任何引号: ```php $str = 'Jane & "Tarzan"'; echo htmlspecialchars_...
php 去除html标记--strip_tags与htmlspecialchars的区别详解
10-27
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES); echo $new; ?> ``` 运行这段代码,输出的结果将是:`<a href='test'>Test</a>`。可以看到,`htmlspecialchars`没有去除HTML标签,而是将它们转换...
htmlspecialchars_decode($about,ENT_QUOTES)
smile
02-23 478
htmlspecialchars_decode($about,ENT_QUOTES) 可以将html源码转换成html的页面内容!
phpent_quotes,php-html_entity_decode上的ENT_HTML5,ENT_HTML401,...修饰符有什么作用?...
weixin_34676828的博客
03-18 318
当我在htmlspecialchars页面上看到这些常量时,我开始怀疑这些常量的行为。 该文档是垃圾,因此我开始研究PHP的源代码。基本上,这些常量会影响某些实体是否已编码(或为2739931077946115015072解码)。 最明显的效果是撇号(ENT_IGNORE)是编码为2739931077946115015074(对于ENT_IGNORE)还是ENT_SUBSTITUTE(对于其他)。...
PHP 函数 htmlspecialchars 使用心得
weixin_30725315的博客
12-18 102
  最近在工作中发现了一个有趣的问题,因为之前在使用htmlspecialchars 函数对单、双引号等容易造成SQL注入的敏感字符进行处理时,都是直接将要处理的数据作为参数传入该函数即了事。因为之前从网络中众多blog以及各类在线手册(如W3CSchool)中查询htmlspecialchars 的特点时,大都会得到这么一个“结论”:htmlspecialchars 函数把一些预定义的...
htmlspecialchars()函数
weixin_33796205的博客
05-21 96
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。 预定义的字符是: &amp; (和号) 成为 &amp;amp; " (双引号) 成为 &amp;quot; ' (单引号) 成为 &amp;#039; &lt; (小于) 成为 &amp;lt; &gt; (大于) 成为 &amp;gt;   &lt;html&gt; &lt;bo...
php sql语句中包含引号,转义html
weixin_48393490的博客
05-11 290
ENT_QUOTES:-编码双引号、单引号、HTML格式内容。ENT_COMPAT:-默认,仅编码双引号。ENT_NOQUOTES:-不编码任何引号。3、剥离字符串中的HTML:strip_tags();1、PHP中执行sql语句参数有单引号双引号转义。
php-Unicode-0.1.3.rar_unicode block php
09-24
- **HTML编码**:在HTML中显示特殊字符,可以使用`htmlspecialchars()`配合`ENT_QUOTES`和`UTF-8`编码。 5. **php-Unicode-0.1.3项目** 这个项目的名称暗示它可能包含PHP的类库或函数,专门用于处理Unicode字符和...
PHP htmlspecialchars() 函数实例代码及用法大全
10-18
- `$flags`:可选参数,用于控制转义的方式,如 `ENT_COMPAT`(仅转义双引号)、`ENT_QUOTES`(转义双引号和单引号)或 `ENT_NOQUOTES`(不转义任何引号)。此外还有其他选项如 `ENT_IGNORE` 和 `ENT_SUBSTITUTE` 来...
phphtml_entity_decode实现HTML实体转义
10-18
其他选项包括 `ENT_NOQUOTES`(不转换任何引号)和 `ENT_QUOTES`(转换双引号和单引号)。 - `$encoding`: 指定输入字符串的编码,如 `UTF-8` 或 `ISO-8859-1`。如果未指定,将尝试从PHP配置中获取默认编码。 与 `...
关于防止 PHP 中的跨站脚本漏洞你需要知道的一切
allway2的博客
08-16 1025
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串中的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不应该提供自己的 HTML 标记的情况。在一个上下文中是安全的(例如允许使用 HTML)在其他上下文中可能是灾难性的(例如,我们处于 HTML 属性的中间)。...
htmlspecialchars()和htmlentities() 的区别
热门推荐
努力升级中的凡人
09-11 1万+
htmlspecialchars — 将以下特殊字符转换为 HTML 实体 &lt;?php $str="&lt;script&gt;alert('123')&lt;/script&gt;"; echo htmlentities($str, ENT_QUOTES); //ENT_COMPAT - 默认。仅编码双引号。 //ENT_QUOTES - 编码双引号和单引号。 ...
html转义处理实现完整教程【附代码】
2301_76418831的博客
05-03 1152
在Web开发中,为了防止XSS攻击等安全问题,经常需要对HTML标签进行转义处理,以确保用户输入的内容不会被当做HTML标签执行。
渗透测试-xss绕过和htmlspecialchars函数绕过
lza20001103的博客
04-24 4706
xss绕过和htmlspecialchars函数绕过
htmlspecialchars() 函数的用法及过滤XSS的问题
滴水石穿
08-31 5942
htmlspecialchars()函数的功能如下: htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 预定义的字符是: & (和号)成为 & " (双引号)成为 " ' (单引号)成为 ' < (小于)成为 < > (大于)成为 > 它的语法如下: htmlspecialchars(string,flags,char...
php面试题汇总
ahfn26906的博客
10-10 1238
8、redis集群怎么做 1、Redis集群提供了以下两个好处1、将数据自动切分(split)到多个节点2、当集群中的某一个节点故障时,redis还可以继续处理客户端的请求。2、集群的方案: redis-cluster集群,采用无中心结构,每个节点保存数据和整个集群状态,每个节点都和其他所有节点连接,主要通过节点的配置,辅以redis的主从来完成集群。由于这块东西我使用得...
XSS之htmlspecialchars
天天学安全专属博客
10-06 2598
XSS之htmlspecialchars,详细讲解htmlspecialchars
把以下php内容转换为html <?php //**指定默认生成默认网站地址请填入""之间 $t = "https://zhaoshuai.me"; if (isset($_POST["submit"])) { $t = htmlspecialchars($_POST['url'], ENT_QUOTES); } ?>
最新发布
06-02
将上述 PHP 代码转换为 HTML 片段可以像这样: ``` <?php $t = "https://zhaoshuai.me"; if (isset($_POST["submit"])) { $t = htmlspecialchars($_POST['url'], ENT_QUOTES); } ?> <label for="url">默认网站地址:</label> <input type="text" id="url" name="url" value="<?php echo $t; ?>"> <input type="submit" name="submit" value="保存"> ``` 在这个例子中,我们将 PHP 代码段放入到 PHP 标记中,然后在 HTML 标记中使用 `$t` 变量和 `$_POST` 超全局变量实现表单的输入和提交。需要注意的是,在 HTML 中不能直接使用 PHP 代码,需要将 PHP 代码嵌入到 PHP 标记中才能被服务器解析和执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值