htmlspecialchars和htmlentities对json数据的影响

1. htmlspecialchars()

该函数的第一个参数是必选参数，类型为字符串，它可以将字符串中的特殊字符转换为对应的html实体，返回转换后的字符串。

它可以转换的特殊字符只有五个，分别是：

< (&lt;)、> (&gt;)、' (&#039;)、" (&quot;) 和 & (&amp;)

2. htmlentities()

该函数的作用和htmlspecialchars类似，但htmlentities()可以将字符串中的所有特殊字符转换为对应的html实体。

htmlspecialchars()和htmlentities()的用途主要是为了对用户输入的内容进行处理（过滤），这样，可以有效地预防sql注入。

经过处理的字符串变量，直接在浏览器上输出显示的结果和处理之前就输出的结果表面上是一样的，但实际上，输出的源代码却是不同的。之所以echo输出的结果一样，是因为浏览器本身对PHP输出的源代码进行了解析。可以通过，右键 -> 查看页面源代码的方式，来比较源代码的不同之处。

示例：

<?php

$json = '{"id":1,"name":"xiaoming"}';

$filterJson = htmlspecialchars($json);

$c = htmlentities($json);

$d = htmlspecialchars_decode($filterJson);      // 将字符串中的实体转换为对应的字符

echo $json;                                          // 输出的源代码为 {"id":1,"name":"xiaoming"}

echo '<br>'.PHP_EOL;

echo $filterJson;                                         // 输出的源代码为 {&quot;id&quot;:1,&quot;name&quot;:&quot;xiaoming&quot;}

echo '<br>'."\n";

echo $c;                                         // 输出的源代码为 {&quot;id&quot;:1,&quot;name&quot;:&quot;xiaoming&quot;}

echo '<br>';

echo $d;                                         // 输出的源代码为 {"id":1,"name":"xiaoming"}

$a1 = json_decode($json, true);       // 正常解析，结果为一个数组

$a2 = json_decode($filterJson, true);      // 无法正常解析，结果为NULL

$a3 = json_decode($d, true);      // 正常解析，结果为一个数组

echo '<br>';

var_dump($a1,$a2,$a3);

?>

通过上面的示例，可以知道，json格式的字符串经htmlspecialchars()或htmlentities()处理后，无法被json_decode()函数正常解析。要想让json_decode()函数正常解析json数据，有以下两个办法：

• 避免json数据被htmlspecialchars()或htmlentities()处理

因为htmlspecialchars()或htmlentities()处理json数据后，json字符串中的双引号被转换成了html实体（&quot;)，原来的json数据已经不再是json格式了。

• 用htmlspecialchars_decode()或html_entity_decode()函数将字符串中可能存在的html实体转换为对应的字符后，再来执行json_decode()函数。