PHP 字符转义、解码函数

前言

为避免恶意输入,可使用 PHP 自带的函数对字符串中的特殊字符进行转义或解码。

htmlspecialchars()

函数把预定义的字符转换为 HTML 实体。

语法

htmlspecialchars(string, flags, character-set, double_encode)
  • 提示:如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。

参数

string

必需。规定要转换的字符串。

flags

可选。规定如何处理引号、无效的编码以及使用哪种文档类型。

可用的引号类型:

  • ENT_COMPAT - 默认。仅编码双引号。
  • ENT_QUOTES - 编码双引号和单引号。
  • ENT_NOQUOTES - 不编码任何引号。

无效的编码:

  • ENT_IGNORE - 忽略无效的编码,而不是让函数返回一个空的字符串。应尽量避免,因为这可能对安全性有影响。
  • ENT_SUBSTITUTE - 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD; 的字符,而不是返回一个空的字符串。
  • ENT_DISALLOWED - 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD;。

规定使用的文档类型的附加 flags:

  • ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
  • ENT_HTML5 - 作为 HTML 5 处理代码。
  • ENT_XML1 - 作为 XML 1 处理代码。
  • ENT_XHTML - 作为 XHTML 处理代码。

character-set

可选。一个规定了要使用的字符集的字符串。

允许的值:

  • UTF-8 - 默认。ASCII 兼容多字节的 8 位 Unicode
  • ISO-8859-1 - 西欧
  • ISO-8859-15 - 西欧(加入欧元符号 + ISO-8859-1 中丢失的法语和芬兰语字母)
  • cp866 - DOS 专用 Cyrillic 字符集
  • cp1251 - Windows 专用 Cyrillic 字符集
  • cp1252 - Windows 专用西欧字符集
  • KOI8-R - 俄语
  • BIG5 - 繁体中文,主要在台湾使用
  • GB2312 - 简体中文,国家标准字符集
  • BIG5-HKSCS - 带香港扩展的 Big5
  • Shift_JIS - 日语
  • EUC-JP - 日语
  • MacRoman - Mac 操作系统使用的字符集

注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。

double_encode

可选。布尔值,规定了是否编码已存在的 HTML 实体。

  • TRUE - 默认。将对每个实体进行转换。
  • FALSE - 不会对已存在的 HTML 实体进行编码。

htmlspecialchars_decode()

函数把预定义的 HTML 实体转换为字符。

语法

htmlspecialchars_decode(string,flags)

参数

string

必需。规定要解码的字符串。

flags

可选。规定如何处理引号以及使用哪种文档类型。

可用的引号类型:

  • ENT_COMPAT - 默认。仅解码双引号。
  • ENT_QUOTES - 解码双引号和单引号。
  • ENT_NOQUOTES - 不解码任何引号。

规定使用的文档类型的附加 flags:

  • ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
  • ENT_HTML5 - 作为 HTML 5 处理代码。
  • ENT_XML1 - 作为 XML 1 处理代码。
  • ENT_XHTML - 作为 XHTML 处理代码。

示例

一个完整的网站总是有表单填写的,而表单传递数据无非是 GET 和 POST 。如果不对表单传递的数据进行字符转义,将会带来不可预计的影响。

未转义

  • 一个 GET 请求响应页面 input.php

    <?php
echo "hello ".$_GET['name'];

  • 通过 URL 传递 GET 数据:

    • 传递数据 ?name=<a href="https://www.baidu.com">123</a>
    http://localhost:63342/ideastaweb/test/input.php?name=<a href="https://www.baidu.com">123</a>

  • 此时,网页显示的是一个超链接,点击跳转到百度:

  • 或者是一个 POST 请求响应页面 input_post.php

    <?php
echo "hello ".$_POST['name'];

    通过一个表单页面发送 POST 请求 post.html:

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form id="form" name="form" method="post" action="input_post.php">
    <input type="text" name="name" id="name" value=""
           placeholder="您的昵称"/>
    <input type="submit" class="button" value="发送"/>
</form>
</body>
</html>

    输入框中输入 <a href="https://www.baidu.com">123</a>

  • 这时同样是超链接。

执行转义

  • echo 的语句内容进行转义:

    GET:

    <?php
echo htmlspecialchars("hello ".$_GET['name']);

    POST:

    <?php
echo htmlspecialchars("hello ".$_POST['name']);

  • 通过各自的请求方式都显示 HTML 实体:

解码

  • 解码时,flag 参数应与转义时一致。
posted @ 2020-08-22 17:29  Yogile  阅读(1935)  评论(0编辑  收藏  举报