PHP htmlspecialchars() 函数--防注入字符转义函数
来源:互联网 发布:企业优化方案 编辑:程序博客网 时间:2024/05/23 01:17
PHP htmlspecialchars() 函数
PHP String 函数
实例
把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体:
<?php$str = "This is some <b>bold</b> text.";echo htmlspecialchars($str);?>
以上代码的 HTML 输出如下(查看源代码):
<!DOCTYPE html><html><body>This is some <b>bold</b> text.</body></html>
以上代码的浏览器输出:
This is some <b>bold</b> text.
定义和用法
htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。
预定义的字符是:
- & (和号)成为 &
- " (双引号)成为 "
- ' (单引号)成为 '
- < (小于)成为 <
- > (大于)成为 >
提示:如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。
语法
htmlspecialchars(string,flags,character-set,double_encode)
可选。规定如何处理引号、无效的编码以及使用哪种文档类型。
可用的引号类型:
- ENT_COMPAT - 默认。仅编码双引号。
- ENT_QUOTES - 编码双引号和单引号。
- ENT_NOQUOTES - 不编码任何引号。
无效的编码:
- ENT_IGNORE - 忽略无效的编码,而不是让函数返回一个空的字符串。应尽量避免,因为这可能对安全性有影响。
- ENT_SUBSTITUTE - 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD; 的字符,而不是返回一个空的字符串。
- ENT_DISALLOWED - 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD;。
规定使用的文档类型的附加 flags:
- ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
- ENT_HTML5 - 作为 HTML 5 处理代码。
- ENT_XML1 - 作为 XML 1 处理代码。
- ENT_XHTML - 作为 XHTML 处理代码。
可选。一个规定了要使用的字符集的字符串。
允许的值:
- UTF-8 - 默认。ASCII 兼容多字节的 8 位 Unicode
- ISO-8859-1 - 西欧
- ISO-8859-15 - 西欧(加入欧元符号 + ISO-8859-1 中丢失的法语和芬兰语字母)
- cp866 - DOS 专用 Cyrillic 字符集
- cp1251 - Windows 专用 Cyrillic 字符集
- cp1252 - Windows 专用西欧字符集
- KOI8-R - 俄语
- BIG5 - 繁体中文,主要在台湾使用
- GB2312 - 简体中文,国家标准字符集
- BIG5-HKSCS - 带香港扩展的 Big5
- Shift_JIS - 日语
- EUC-JP - 日语
- MacRoman - Mac 操作系统使用的字符集
注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。
double_encode可选。布尔值,规定了是否编码已存在的 HTML 实体。
- TRUE - 默认。将对每个实体进行转换。
- FALSE - 不会对已存在的 HTML 实体进行编码。
技术细节
返回值:返回被转换的字符串。
如果 string 包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志。
PHP 版本:4+更新日志:在 PHP 5 中,character-set 参数的默认值改为 UTF-8。
在 PHP 5.4 中,新增了:ENT_SUBSTITUTE、ENT_DISALLOWED、ENT_HTML401、ENT_HTML5、ENT_XML1 和 ENT_XHTML。
在 PHP 5.3 中,新增了 ENT_IGNORE。
在 PHP 5.2.3 中,新增了 double_encode 参数。
在 PHP 4.1 中,新增了 character-set 参数。
更多实例
例子 1
把一些预定义的字符转换为 HTML 实体:
<?php$str = "Bill & 'Steve'";echo htmlspecialchars($str, ENT_COMPAT); // 只转换双引号echo "<br>";echo htmlspecialchars($str, ENT_QUOTES); // 转换双引号和单引号echo "<br>";echo htmlspecialchars($str, ENT_NOQUOTES); // 不转换任何引号?>
以上代码的 HTML 输出如下(查看源代码):
<!DOCTYPE html><html><body>Bill & 'Steve'<br>Bill & 'Steve'<br>Bill & 'Steve'</body></html>
以上代码的浏览器输出:
Bill & 'Steve'Bill & 'Steve'Bill & 'Steve'
例子 2
把双引号转换为 HTML 实体:
<?php$str = 'I love "PHP".';echo htmlspecialchars($str, ENT_QUOTES); // 转换双引号和单引号?>
以上代码的 HTML 输出如下(查看源代码):
<!DOCTYPE html><html><body>I love "PHP".</body></html>
以上代码的浏览器输出:
I love "PHP".
PHP String 函数
- PHP htmlspecialchars() 函数--防注入字符转义函数
- php防注入函数
- PHP的转义函数 htmlspecialchars、strip_tags、addslashes解释
- PHP防sql注入方法 htmlspecialchars addslashes
- php防注入函数隐患
- PHP防注入的函数
- php中的htmlspecialchars函数
- PHP htmlspecialchars() 函数
- PHP htmlspecialchars() 函数
- php htmlspecialchars()函数
- PHP htmlspecialchars() 函数
- PHP之htmlspecialchars函数
- PHP htmlspecialchars() 函数
- addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入
- PHP htmlspecialchars和htmlspecialchars_decode(函数)
- mysql防sql注入的php函数
- PHP的几个防SQL注入函数
- PHP防注入漏洞过滤函数
- 使用Setup Factory 给应用程序打包
- 股票交易 动态规划 分治算法
- MySQL order by实现原理分析和Filesort优化
- spring源码-3-bean实例化
- floyd算法--一个人的旅行
- PHP htmlspecialchars() 函数--防注入字符转义函数
- mysql求id最大的数据记录
- Android随笔01
- CCFCSP201503-1图像旋转
- spring mvc4 使用 及json 日期转换解决方案
- htm链接
- 逆序对 归并排序
- Solr、Lucene
- java-日志框架