PHP 字元轉義、解碼函式
前言
為避免惡意輸入,可使用 PHP 自帶的函式對字串中的特殊字元進行轉義或解碼。
字串轉義,函式把預定義的字元轉換為 HTML 實體。
htmlspecialchars()
函式把預定義的字元轉換為 HTML 實體。
語法
htmlspecialchars(string, flags, character-set, double_encode)
- 提示:如需把特殊的 HTML 實體轉換回字元,請使用
htmlspecialchars_decode()
函式。
引數
string
必需。規定要轉換的字串。
flags
可選。規定如何處理引號、無效的編碼以及使用哪種文件型別。
可用的引號型別:
- ENT_COMPAT - 預設。僅編碼雙引號。
- ENT_QUOTES - 編碼雙引號和單引號。
- ENT_NOQUOTES - 不編碼任何引號。
無效的編碼:
- ENT_IGNORE - 忽略無效的編碼,而不是讓函式返回一個空的字串。應儘量避免,因為這可能對安全性有影響。
- ENT_SUBSTITUTE - 把無效的編碼替代成一個指定的帶有 Unicode 替代字元 U+FFFD(UTF-8)或者 &#FFFD; 的字元,而不是返回一個空的字串。
- ENT_DISALLOWED - 把指定文件型別中的無效程式碼點替代成 Unicode 替代字元 U+FFFD(UTF-8)或者 &#FFFD;。
規定使用的文件型別的附加 flags:
- ENT_HTML401 - 預設。作為 HTML 4.01 處理程式碼。
- ENT_HTML5 - 作為 HTML 5 處理程式碼。
- ENT_XML1 - 作為 XML 1 處理程式碼。
- ENT_XHTML - 作為 XHTML 處理程式碼。
character-set
可選。一個規定了要使用的字符集的字串。
允許的值:
- UTF-8 - 預設。ASCII 相容多位元組的 8 位 Unicode
- ISO-8859-1 - 西歐
- ISO-8859-15 - 西歐(加入歐元符號 + ISO-8859-1 中丟失的法語和芬蘭語字母)
- cp866 - DOS 專用 Cyrillic 字符集
- cp1251 - Windows 專用 Cyrillic 字符集
- cp1252 - Windows 專用西歐字符集
- KOI8-R - 俄語
- BIG5 - 繁體中文,主要在臺灣使用
- GB2312 - 簡體中文,國家標準字符集
- BIG5-HKSCS - 帶香港擴充套件的 Big5
- Shift_JIS - 日語
- EUC-JP - 日語
- MacRoman - Mac 作業系統使用的字符集
註釋:在 PHP 5.4 之前的版本,無法被識別的字符集將被忽略並由 ISO-8859-1 替代。自 PHP 5.4 起,無法被識別的字符集將被忽略並由 UTF-8 替代。
double_encode
可選。布林值,規定了是否編碼已存在的 HTML 實體。
- TRUE - 預設。將對每個實體進行轉換。
- FALSE - 不會對已存在的 HTML 實體進行編碼。
htmlspecialchars_decode()
函式把預定義的 HTML 實體轉換為字元。
語法
htmlspecialchars_decode(string,flags)
引數
string
必需。規定要解碼的字串。
flags
可選。規定如何處理引號以及使用哪種文件型別。
可用的引號型別:
- ENT_COMPAT - 預設。僅解碼雙引號。
- ENT_QUOTES - 解碼雙引號和單引號。
- ENT_NOQUOTES - 不解碼任何引號。
規定使用的文件型別的附加 flags:
- ENT_HTML401 - 預設。作為 HTML 4.01 處理程式碼。
- ENT_HTML5 - 作為 HTML 5 處理程式碼。
- ENT_XML1 - 作為 XML 1 處理程式碼。
- ENT_XHTML - 作為 XHTML 處理程式碼。
示例
一個完整的網站總是有表單填寫的,而表單傳遞資料無非是 GET 和 POST 。如果不對錶單傳遞的資料進行字元轉義,將會帶來不可預計的影響。
未轉義
-
一個 GET 請求響應頁面
input.php
:<?php echo "hello ".$_GET['name'];
-
通過 URL 傳遞 GET 資料:
- 傳遞資料
?name=<a href="https://www.baidu.com">123</a>
。
http://localhost:63342/ideastaweb/test/input.php?name=<a href="https://www.baidu.com">123</a>
- 傳遞資料
-
此時,網頁顯示的是一個超連結,點選跳轉到百度:
![PHP字元轉義_1.1](C:\Amber\alive\InitNotes\新坑\PHP\字元轉義\PHP 字元轉義、解碼函式\PHP字元轉義_1.1.PNG)
-
或者是一個 POST 請求響應頁面
input_post.php
:<?php echo "hello ".$_POST['name'];
通過一個表單頁面傳送 POST 請求 post.html:
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form id="form" name="form" method="post" action="input_post.php"> <input type="text" name="name" id="name" value="" placeholder="您的暱稱"/> <input type="submit" class="button" value="傳送"/> </form> </body> </html>
輸入框中輸入
<a href="https://www.baidu.com">123</a>
。![PHP字元轉義_1.2](C:\Amber\alive\InitNotes\新坑\PHP\字元轉義\PHP 字元轉義、解碼函式\PHP字元轉義_1.2.PNG)
-
這時同樣是超連結。
執行轉義
-
對
echo
的語句內容進行轉義:GET:
<?php echo htmlspecialchars("hello ".$_GET['name']);
POST:
<?php echo htmlspecialchars("hello ".$_POST['name']);
-
通過各自的請求方式都顯示 HTML 實體:
![PHP字元轉義_1.3](C:\Amber\alive\InitNotes\新坑\PHP\字元轉義\PHP 字元轉義、解碼函式\PHP字元轉義_1.3.PNG)
解碼
- 解碼時,
flag
引數應與轉義時一致。