前言
为避免恶意输入,可使用 PHP 自带的函数对字符串中的特殊字符进行转义或解码。
字符串转义,函数把预定义的字符转换为 HTML 实体。
htmlspecialchars()
函数把预定义的字符转换为 HTML 实体。
语法
htmlspecialchars(string, flags, character-set, double_encode)
提示:如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。
参数
string
必需。规定要转换的字符串。
flags
可选。规定如何处理引号、无效的编码以及使用哪种文档类型。
可用的引号类型:
ENT_COMPAT - 默认。仅编码双引号。
ENT_QUOTES - 编码双引号和单引号。
ENT_NOQUOTES - 不编码任何引号。
无效的编码:
ENT_IGNORE - 忽略无效的编码,而不是让函数返回一个空的字符串。应尽量避免,因为这可能对安全性有影响。
ENT_SUBSTITUTE - 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD(UTF-8)或者 FFFD; 的字符,而不是返回一个空的字符串。
ENT_DISALLOWED - 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD(UTF-8)或者 FFFD;。
规定使用的文档类型的附加 flags:
ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
ENT_HTML5 - 作为 HTML 5 处理代码。
ENT_XML1 - 作为 XML 1 处理代码。
ENT_XHTML - 作为 XHTML 处理代码。
character-set
可选。一个规定了要使用的字符集的字符串。
允许的值:
UTF-8 - 默认。ASCII 兼容多字节的 8 位 Unicode
ISO-8859-1 - 西欧
ISO-8859-15 - 西欧(加入欧元符号 + ISO-8859-1 中丢失的法语和芬兰语字母)
cp866 - DOS 专用 Cyrillic 字符集
cp1251 - Windows 专用 Cyrillic 字符集
cp1252 - Windows 专用西欧字符集
KOI8-R - 俄语
BIG5 - 繁体中文,主要在台湾使用
GB2312 - 简体中文,国家标准字符集
BIG5-HKSCS - 带香港扩展的 Big5
Shift_JIS - 日语
EUC-JP - 日语
MacRoman - Mac 操作系统使用的字符集
注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。
double_encode
可选。布尔值,规定了是否编码已存在的 HTML 实体。
TRUE - 默认。将对每个实体进行转换。
FALSE - 不会对已存在的 HTML 实体进行编码。
htmlspecialchars_decode()
函数把预定义的 HTML 实体转换为字符。
语法
htmlspecialchars_decode(string,flags)
参数
string
必需。规定要解码的字符串。
flags
可选。规定如何处理引号以及使用哪种文档类型。
可用的引号类型:
ENT_COMPAT - 默认。仅解码双引号。
ENT_QUOTES - 解码双引号和单引号。
ENT_NOQUOTES - 不解码任何引号。
规定使用的文档类型的附加 flags:
ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
ENT_HTML5 - 作为 HTML 5 处理代码。
ENT_XML1 - 作为 XML 1 处理代码。
ENT_XHTML - 作为 XHTML 处理代码。
示例
一个完整的网站总是有表单填写的,而表单传递数据无非是 GET 和 POST 。如果不对表单传递的数据进行字符转义,将会带来不可预计的影响。
未转义
一个 GET 请求响应页面 input.php:
echo "hello ".$_GET['name'];
通过 URL 传递 GET 数据:
传递数据 ?name=123 。
http://localhost:63342/ideastaweb/test/input.php?name=123
此时,网页显示的是一个超链接,点击跳转到百度:
![PHP字符转义_1.1](C:\Amber\alive\InitNotes\新坑\PHP\字符转义\PHP 字符转义、解码函数\PHP字符转义_1.1.PNG)
或者是一个 POST 请求响应页面 input_post.php:
echo "hello ".$_POST['name'];
通过一个表单页面发送 POST 请求 post.html:
Titleplaceholder="您的昵称"/>
输入框中输入 123 。
![PHP字符转义_1.2](C:\Amber\alive\InitNotes\新坑\PHP\字符转义\PHP 字符转义、解码函数\PHP字符转义_1.2.PNG)
这时同样是超链接。
执行转义
对 echo 的语句内容进行转义:
GET:
echo htmlspecialchars("hello ".$_GET['name']);
POST:
echo htmlspecialchars("hello ".$_POST['name']);
通过各自的请求方式都显示 HTML 实体:
![PHP字符转义_1.3](C:\Amber\alive\InitNotes\新坑\PHP\字符转义\PHP 字符转义、解码函数\PHP字符转义_1.3.PNG)
解码
解码时,flag 参数应与转义时一致。
标签:字符,解码,转义,HTML,ENT,PHP
来源: https://www.cnblogs.com/Yogile/p/13546405.html