php的ent_quotes,php-html_entity_decode上的ENT_HTML5,ENT_HTML401,...修饰符有什么作用?...

最新推荐文章于 2023-05-11 13:49:26 发布
最新推荐文章于 2023-05-11 13:49:26 发布
阅读量316 收藏
点赞数
文章标签: php的ent_quotes

当我在htmlspecialchars页面上看到这些常量时,我开始怀疑这些常量的行为。 该文档是垃圾,因此我开始研究PHP的源代码。

基本上,这些常量会影响某些实体是否已编码(或为2739931077946115015072解码)。 最明显的效果是撇号(ENT_IGNORE)是编码为2739931077946115015074(对于ENT_IGNORE)还是ENT_SUBSTITUTE(对于其他)。 同样,它确定使用ENT_HTML401时是否对ENT_XML1进行了解码(始终对'进行解码)。

所有用法都可以在ext / standard / html.c及其头文件中找到。 从ext / standard / html.h:

#define ENT_HTML_DOC_HTML401 0

#define ENT_HTML_DOC_XML1 16

#define ENT_HTML_DOC_XHTML 32

#define ENT_HTML_DOC_HTML5 (16|32)

(将ENT_DISALLOWED替换为ENT_IGNORE以获取其PHP常量名称)

我开始寻找所有这些常量的出现,并且可以就2739931077946115015072常量的行为共享以下内容:

它影响哪些数字实体将被解码或不被解码。 例如,对于ENT_IGNORE和FFFD;和ENT_IGNORE,对于2739931077946115015076和2739931077946115015073,解码为2739931077946115015072,但是它被视为无效字符,因此保留为2739931077946115015077。(C函数unicode_cp_is_allowed)

启用ENT_DISALLOWED后,指定字符集的无效代码单元序列将替换为2739931077946115015073(不取决于文档类型!)

启用ENT_DISALLOWED后,指定文档类型不允许的代码点将替换为ENT_IGNORE。(不依赖于字符集!)

使用ENT_DISALLOWED,将删除与ENT_IGNORE相同的无效代码单元序列,并且不进行替换(取决于“文档类型”的选择,例如FFFD;)

禁止将27399310779461150150用于ENT_IGNORE(976行)

ENT_DISALLOWED与ENT_IGNORE共享实体映射。唯一的区别是FFFD;将转换为ENT_IGNORE的撇号,而ENT_SUBSTITUTE不转换(参见此行)

ENT_DISALLOWED和ENT_IGNORE使用完全相同的实体图(减去与上一点的差)。 FFFD;使用其自己的地图。 其他(目前为ENT_IGNORE)的解码映射非常有限(ENT_SUBSTITUTE、ENT_XML1、ENT_HTML401、'、"及其数值等效项)。 (请参见C函数unescape_inverse_map)

需要注意的一点是:当只有少数实体必须转义时(例如27399310779461150150),所有实体映射将使用与ENT_IGNORE相同的实体,但2739931077946115015074除外。该实体将不使用2739931077946115015075,而是ENT_IGNORE。

这几乎涵盖了所有内容。 我不会列出所有实体差异,而是要针对某些文本文件指向[https://github.com/php/php-src/tree/php-5.4.11/ext/standard/html_tables] 包含每种类型的映射。

htmlspecialchars应该使用什么ENT_ *?

当将27399310779461150150与ENT_COMPAT(默认)或ENT_NOQUOTES一起使用时,选择哪一个都没关系(请参见下文)。 我在SO上看到了一些答案,可以归结为:

这是不安全的。 它会覆盖默认值2739931077946115015072,这与使用HTML5实体有所不同,但引号不再被转义! 另外,这是冗余代码。 对于所有FFFD;、ENT_IGNORE等,必须由ENT_IGNORE编码的实体都是相同的。

只需使用2739931077946115015072或ENT_IGNORE即可。 当您对属性使用撇号(FFFD;)时,后者也适用。 如果只有ENT_IGNORE的两个参数,则不要包含该参数,因为它是默认参数(ENT_SUBSTITUTE为0,还记得吗?)。

如果要在页面上打印某些内容(在标签之间,而不是属性之间),则选择哪一个都没有关系,因为它具有相同的效果。 使用等于数值2739931077946115015073的ENT_DISALLOWED甚至足够。

另请参阅以下有关ENT_SUBTITUTE和ENT_DISALLOWED的信息。

我应该对htmlentities使用哪个ENT_ *?

如果您的文本编辑器或数据库太笨拙,无法包含非US-ASCII字符(例如UTF-8),则可以使用htmlentities。 否则,请保存一些字节并改用htmlspecialchars(请参见上文)。

您是否需要使用ENT_DISALLOWED、ENT_IGNORE或其他方式取决于页面的投放方式。 当您拥有HTML5页面(FFFD;)时,请使用ENT_IGNORE。XHTML或XML? 使用对应的2739931077946115015076或27399310779461150150。如果没有doctype或普通HTML4,请使用ENT_HTML401(省略时为默认值)。

我应该使用ENT_DISALLOWED,ENT_IGNORE还是ENT_SUBSTITUTE?

默认情况下,将删除对给定字符集无效的字节序列。 要使用2739931077946115015072代替无效字节序列,请指定ENT_IGNORE(请注意,对于非UTF-8字符集,显示为27399310779461150150)。 但是,当您指定ENT_IGNORE时,即使指定了ENT_SUBSTITUTE,也不会显示这些字符。

当指定2739931077946115015072时,文档类型的无效字符将由上面的相同替换字符(或其实体)替换。 无论是否设置了ENT_IGNORE(与doctypes的无效字符无关),都会发生这种情况。

Aconitine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phphtml_entity_decode实现HTML实体转义
10-18
PHP编程中,`html_entity_decode` 是一个非常重要的函数,用于将HTML实体转换回它们原始的字符形式。这个函数在处理从用户输入或者数据库中取出的数据时特别有用,因为这些数据可能已经被HTML实体化以防止XSS(跨...
PHP html_entity_decode()函数讲解
10-17
`PHP`中的`html_entity_decode()`函数用于将HTML实体转换为它们对应的字符。这个函数对于处理从HTML文档中提取或显示文本特别有用,因为它能够反转`htmlentities()`函数的效果。在处理用户输入或从HTML源码中恢复...
php sql语句中包含引号,转义html
最新发布
weixin_48393490的博客
05-11 287
ENT_QUOTES:-编码双引号、单引号、HTML格式内容。ENT_COMPAT:-默认,仅编码双引号。ENT_NOQUOTES:-不编码任何引号。3、剥离字符串中的HTML:strip_tags();1、PHP中执行sql语句参数有单引号双引号转义。
phpent_quotes,phphtmlspecialchars&ENT_QUOTES不工作?
weixin_28973031的博客
03-18 394
你是如何准确测试它的?//sanitize data from db before displaying on webpagefunction htmlsan($htmlsanitize){return $htmlsanitize = htmlspecialchars($htmlsanitize, ENT_QUOTES, 'UTF-8');}var_dump(htmlsan('<>\'...
php html_entity_decode 标签没有闭合,php – strip_tags和html_entity_decode组合无法按预期工作...
weixin_30475939的博客
03-17 100
我从昨天起就一直在与这个问题作斗争 – 不幸的是无济于事(并非完全没有,我找到了某种解决方法),经过一些研究和重读文档后,我仍然没有多少目瞪口呆和困惑.让我们假设有一个丑陋的字符串,它已经具有正确的html编码的特殊字符.像这样 :$exampleString = '&lt;div id="dynamic2"&gt; &lt;divid="iStoreProductLong...
关于防止 PHP 中的跨站脚本漏洞你需要知道的一切
allway2的博客
08-16 1020
HTML Purifier 没有尝试天真地搜索和替换用户输入字符串中的恶意片段,而是将整个字符串消化为 HTML 文档,将其分解为标记,并根据白名单和每个属性的 RFC 定义验证所有元素和属性。自动转义不仅使您的代码更易于阅读,而且还可以防止单个疏忽成为具有恶意负载的攻击者的入口点。“转义所有 HTML 实体”方法是安全的,并且非常适用于用户不应该提供自己的 HTML 标记的情况。在一个上下文中是安全的(例如允许使用 HTML)在其他上下文中可能是灾难性的(例如,我们处于 HTML 属性的中间)。...
php面试题汇总
ahfn26906的博客
10-10 1227
8、redis集群怎么做 1、Redis集群提供了以下两个好处1、将数据自动切分(split)到多个节点2、当集群中的某一个节点故障时,redis还可以继续处理客户端的请求。2、集群的方案: redis-cluster集群,采用无中心结构,每个节点保存数据和整个集群状态,每个节点都和其他所有节点连接,主要通过节点的配置,辅以redis的主从来完成集群。由于这块东西我使用得...
php-Unicode-0.1.3.rar_unicode block php
09-24
- **HTML编码**:在HTML中显示特殊字符,可以使用`htmlspecialchars()`配合`ENT_QUOTES`和`UTF-8`编码。 5. **php-Unicode-0.1.3项目** 这个项目的名称暗示它可能包含PHP的类库或函数,专门用于处理Unicode字符和...
php 去除html标记--strip_tags与htmlspecialchars的区别详解
10-27
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES); echo $new; ?> ``` 运行这段代码,输出的结果将是:`<a href='test'>Test</a>`。可以看到,`htmlspecialchars`没有去除HTML标签,而是将它们转换...
基于PHP magic_quotes_gpc的使用方法详解
10-27
本篇文章是对PHP中magic_quotes_gpc的使用方法进行了详细的分析介绍,需要的朋友参考下
htmlspecialchars_decode($about,ENT_QUOTES)
smile
02-23 478
htmlspecialchars_decode($about,ENT_QUOTES) 可以将html源码转换成html的页面内容!
php 转义()_PHP 转义使用详解
weixin_30284931的博客
03-09 1247
php中数据的魔法引用函数 magic_quotes_gpc 或 magic_quotes_runtime设置为on时,为我们引用的数据碰到 单引号' 和 双引号" 以及 反斜线\ 时自动加上反斜线,帮我们自动转译符号,确保数据操作的正确运行两者的区别:magic_quotes_gpc作用范围是:WEB客户服务端;作用时间:请求开始是,例如当脚本运行时。magic_quotes_runtime作...
htmlentities()函数 中文转成乱码问题
后端开发
05-27 2272
htmlentities — Convert all applicable characters to HTML entitiesstring htmlentities ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = 'UTF-8' [, bool $double_en
TP5 使用strip_tags过滤html标签不起作用
xingnang2008的专栏
02-20 1309
TP5 过滤html标签   TP5默认对前端传过来的字符串使用了htmlspecialchars转换为 HTML 实体,因此,我的解决办法是对已经转换的实体进行反转,使用htmlspecialchars_decode()函数即可以实现: $data['post']['content'] = strip_tags(htmlspecialchars_decode($data['post']...
PHP常用函数汇总(一)字符串函数
不二青春
03-09 180
常用的字符串函数 1.strlen($str);//返回字符串长度 mb_strlen($str); //可以返回中文字符长度; 2.strtolower($str);//字母转小写 strtoupper($str);//字母转大写 3.ucwords($str);//每一个单词的首字母转大写 ucfirst($str);//首字母转大写 4.str_replace('a',...
单引号双引号和其它特殊字符的恼人问题
elfenliedef的编程之旅
02-18 5778
1.javascript跟sql语句中,单引号需加反斜线转义\',不然会报错。 在数据库中存贮的是原本的文字,但是插入时需加\,读取并由js使用时亦需加\转义。   PHP解决方式: 插入数据库时,使用AddSlashes函数转义单双引号,存入数据库的数据不变 读取通过js使用时,AddSlashes就可以 显示在html时候,htmlspecialchars($str,ENT_QUO
data_json = json.loads(html, strict=False)
03-30
This code loads the JSON data ... The `strict=False` parameter is used to allow the parser to handle non-JSON-compliant data, such as single quotes instead of double quotes around keys and values.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值