前言
为避免恶意输入,可使用 PHP 自带的函数对字符串中的特殊字符进行转义或解码。
字符串转义,函数把预定义的字符转换为 HTML 实体。
htmlspecialchars()
函数把预定义的字符转换为 HTML 实体。
语法
htmlspecialchars(string, flags, character-set, double_encode)
- 提示:如需把特殊的 HTML 实体转换回字符,请使用
htmlspecialchars_decode()
函数。
参数
string
必需。规定要转换的字符串。
flags
可选。规定如何处理引号、无效的编码以及使用哪种文档类型。
可用的引号类型:
- ENT_COMPAT - 默认。仅编码双引号。
- ENT_QUOTES - 编码双引号和单引号。
- ENT_NOQUOTES - 不编码任何引号。
无效的编码:
- ENT_IGNORE - 忽略无效的编码,而不是让函数返回一个空的字符串。应尽量避免,因为这可能对安全性有影响。
- ENT_SUBSTITUTE - 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD; 的字符,而不是返回一个空的字符串。
- ENT_DISALLOWED - 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD;。
规定使用的文档类型的附加 flags:
- ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
- ENT_HTML5 - 作为 HTML 5 处理代码。
- ENT_XML1 - 作为 XML 1 处理代码。
- ENT_XHTML - 作为 XHTML 处理代码。
character-set
可选。一个规定了要使用的字符集的字符串。
允许的值:
- UTF-8 - 默认。ASCII 兼容多字节的 8 位 Unicode
- ISO-8859-1 - 西欧
- ISO-8859-15 - 西欧(加入欧元符号 + ISO-8859-1 中丢失的法语和芬兰语字母)
- cp866 - DOS 专用 Cyrillic 字符集
- cp1251 - Windows 专用 Cyrillic 字符集
- cp1252 - Windows 专用西欧字符集
- KOI8-R - 俄语
- BIG5 - 繁体中文,主要在*使用
- GB2312 - 简体中文,国家标准字符集
- BIG5-HKSCS - 带香港扩展的 Big5
- Shift_JIS - 日语
- EUC-JP - 日语
- MacRoman - Mac 操作系统使用的字符集
注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。
double_encode
可选。布尔值,规定了是否编码已存在的 HTML 实体。
- TRUE - 默认。将对每个实体进行转换。
- FALSE - 不会对已存在的 HTML 实体进行编码。
htmlspecialchars_decode()
函数把预定义的 HTML 实体转换为字符。
语法
htmlspecialchars_decode(string,flags)
参数
string
必需。规定要解码的字符串。
flags
可选。规定如何处理引号以及使用哪种文档类型。
可用的引号类型:
- ENT_COMPAT - 默认。仅解码双引号。
- ENT_QUOTES - 解码双引号和单引号。
- ENT_NOQUOTES - 不解码任何引号。
规定使用的文档类型的附加 flags:
- ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
- ENT_HTML5 - 作为 HTML 5 处理代码。
- ENT_XML1 - 作为 XML 1 处理代码。
- ENT_XHTML - 作为 XHTML 处理代码。
示例
一个完整的网站总是有表单填写的,而表单传递数据无非是 GET 和 POST 。如果不对表单传递的数据进行字符转义,将会带来不可预计的影响。
未转义
-
一个 GET 请求响应页面
input.php
:<?php echo "hello ".$_GET['name'];
-
通过 URL 传递 GET 数据:
- 传递数据
?name=<a href="https://www.baidu.com">123</a>
。
http://localhost:63342/ideastaweb/test/input.php?name=<a href="https://www.baidu.com">123</a>
- 传递数据
-
此时,网页显示的是一个超链接,点击跳转到百度:
![PHP字符转义_1.1](C:\Amber\alive\InitNotes\新坑\PHP\字符转义\PHP 字符转义、解码函数\PHP字符转义_1.1.PNG)
-
或者是一个 POST 请求响应页面
input_post.php
:<?php echo "hello ".$_POST['name'];
通过一个表单页面发送 POST 请求 post.html:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form id="form" name="form" method="post" action="input_post.php"> <input type="text" name="name" id="name" value="" placeholder="您的昵称"/> <input type="submit" class="button" value="发送"/> </form> </body> </html>
输入框中输入
<a href="https://www.baidu.com">123</a>
。![PHP字符转义_1.2](C:\Amber\alive\InitNotes\新坑\PHP\字符转义\PHP 字符转义、解码函数\PHP字符转义_1.2.PNG)
-
这时同样是超链接。
执行转义
-
对
echo
的语句内容进行转义:GET:
<?php echo htmlspecialchars("hello ".$_GET['name']);
POST:
<?php echo htmlspecialchars("hello ".$_POST['name']);
-
通过各自的请求方式都显示 HTML 实体:
![PHP字符转义_1.3](C:\Amber\alive\InitNotes\新坑\PHP\字符转义\PHP 字符转义、解码函数\PHP字符转义_1.3.PNG)
解码
- 解码时,
flag
参数应与转义时一致。