htmlspecialchars函数是PHP中的一个功能

2 年 ago

韵, 科

1 minute

■htmlspecialchars()是一种用于编码HTML特殊字符的函数。

在PHP上用于将代码以文本形式显示的方法，也称为转义。如果不进行转义，则可能发生XSS攻击，导致系统出现问题。

htmlspecialchars(第一引数,第二引数,第三引数);

▼第一个参数
放入要转义的字符。
也可以是变量。

▼第二个参数
放入转换的模式。

変換パターン説明ENT_QUOTESダブルクオテーション、シングルクオテーションどちらも変換ENT_COMPATダブルクオテーションのみ変換ENT_NOQUOTESダブルもシングルも変換しないENT_COMPATデフォルト

▼第三个参数
指定字符编码
如UTF-8等

代码没有以文本形式显示，而是发挥了其功能。
*危险

<?php 
 $a = "<p>こんにちわ</p>";
 echo $a;
?>

//結果 こんにちわ

代码以文本形式展示，而且代码的能力没有得到充分发挥。
* 安全

<?php 
 $a = "<p>こんにちわ</p>";
 echo htmlspecialchars($a,ENT_QUOTES,'UTF-8');
?>

//結果 <p>こんにちわ</p>

如果不使用htmlspecialchars()，不仅工程师而且任何人都可以编写和修改代码。这会导致安全问题。