php过滤输入操作之htmlentities与htmlspecialchars用法分析

php  /  管理员 发布于 8年前   220

本文实例讲述了php过滤输入操作htmlentities与htmlspecialchars用法。分享给大家供大家参考，具体如下：

过滤输入 (即来自所列数据源中的任何数据)是指，转义或删除不安全的字符。在数据到达应用的存储层之前，一定要过滤输入数据。这是第一道防线。假如网站的评论表单接收html，默认情况下访客可以毫无阻拦地在评论中加入恶意的

上面例子。如果不过滤这个评论，恶意代码会存入数据库，然后再网站的标记中渲染。

HTML

我们可以使用htmlentities或者htmlspecialchars函数来过滤html，把特殊字符转换成对应的html实体。

htmlentities这个函数转换所有含有对应“html实体”的特殊字符，比如货币表示符号欧元英镑等、版权符号等，htmlspecialchars 只是把某些特殊的字符转义了， & " ' < >

这2个函数比较傻，默认是不会转义单引号的

$str='\'测试页面\''; //并没有转义单引号echo $str;echo "
".PHP_EOL;echo htmlentities($str);echo "
".PHP_EOL;echo htmlspecialchars($str);

需要设置第2个参数 ENT_QUOTES，具体可以看php手册

echo htmlentities($str,ENT_QUOTES,'UTF-8'); //单引号也转义echo "
".PHP_EOL;echo htmlspecialchars($str,ENT_QUOTES,'UTF-8');//单引号也转义

以上例子并不能区别出htmlentities和htmlspecialchars ，下面换上一些特殊的字符，如欧元等。htmlentities将会对此转义，htmlspecialchars却不会

echo htmlentities(' <>"').PHP_EOL;echo "
".PHP_EOL;echo htmlspecialchars(' <>"').PHP_EOL; //没有转义

结论：做一般表单提交的时候完全可以用strip_tags去除html标签，如果涉及到富文本编辑器需要保留html标签，可以用htmlspecialchars对提交数据进行过滤。

更多关于PHP相关内容感兴趣的读者可查看本站专题：《php程序设计安全教程》、《php安全过滤技巧总结》、《PHP运算与运算符用法总结》、《PHP网络编程技巧总结》、《PHP基本语法入门教程》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》

希望本文所述对大家PHP程序设计有所帮助。

您可能感兴趣的文章:

• php htmlentities和htmlspecialchars 的区别
• php 去除html标记--strip_tags与htmlspecialchars的区别详解
• php5.4以上版本GBK编码下htmlspecialchars输出为空问题解决方法汇总
• PHP关于htmlspecialchars、strip_tags、addslashes的解释
• php htmlspecialchars()与shtmlspecialchars()函数的深入分析
• php htmlspecialchars加强版
• PHP htmlspecialchars() 函数实例代码及用法大全
• PHP htmlspecialchars_decode()函数用法讲解
• PHP htmlspecialchars()函数用法与实例讲解
• php过滤htmlspecialchars() 函数实现把预定义的字符转换为 HTML 实体用法分析