前言

為避免惡意輸入，可使用 PHP 自帶的函式對字串中的特殊字元進行轉義或解碼。

字串轉義，函式把預定義的字元轉換為 HTML 實體。

htmlspecialchars()

函式把預定義的字元轉換為 HTML 實體。

語法

htmlspecialchars(string, flags, character-set, double_encode)

• 提示：如需把特殊的 HTML 實體轉換回字元，請使用 htmlspecialchars_decode() 函式。

引數

string

必需。規定要轉換的字串。

flags

可選。規定如何處理引號、無效的編碼以及使用哪種文件型別。

可用的引號型別：

• ENT_COMPAT - 預設。僅編碼雙引號。
• ENT_QUOTES - 編碼雙引號和單引號。
• ENT_NOQUOTES - 不編碼任何引號。

無效的編碼：

• ENT_IGNORE - 忽略無效的編碼，而不是讓函式返回一個空的字串。應儘量避免，因為這可能對安全性有影響。
• ENT_SUBSTITUTE - 把無效的編碼替代成一個指定的帶有 Unicode 替代字元 U+FFFD（UTF-8）或者 &#FFFD; 的字元，而不是返回一個空的字串。
• ENT_DISALLOWED - 把指定文件型別中的無效程式碼點替代成 Unicode 替代字元 U+FFFD（UTF-8）或者 &#FFFD;。

規定使用的文件型別的附加 flags：

• ENT_HTML401 - 預設。作為 HTML 4.01 處理程式碼。
• ENT_HTML5 - 作為 HTML 5 處理程式碼。
• ENT_XML1 - 作為 XML 1 處理程式碼。
• ENT_XHTML - 作為 XHTML 處理程式碼。

character-set

可選。一個規定了要使用的字符集的字串。

允許的值：

• UTF-8 - 預設。ASCII 相容多位元組的 8 位 Unicode
• ISO-8859-1 - 西歐
• ISO-8859-15 - 西歐（加入歐元符號 + ISO-8859-1 中丟失的法語和芬蘭語字母）
• cp866 - DOS 專用 Cyrillic 字符集
• cp1251 - Windows 專用 Cyrillic 字符集
• cp1252 - Windows 專用西歐字符集
• KOI8-R - 俄語
• BIG5 - 繁體中文，主要在臺灣使用
• GB2312 - 簡體中文，國家標準字符集
• BIG5-HKSCS - 帶香港擴充套件的 Big5
• Shift_JIS - 日語
• EUC-JP - 日語
• MacRoman - Mac 作業系統使用的字符集

註釋：在 PHP 5.4 之前的版本，無法被識別的字符集將被忽略並由 ISO-8859-1 替代。自 PHP 5.4 起，無法被識別的字符集將被忽略並由 UTF-8 替代。

double_encode

可選。布林值，規定了是否編碼已存在的 HTML 實體。

• TRUE - 預設。將對每個實體進行轉換。
• FALSE - 不會對已存在的 HTML 實體進行編碼。

htmlspecialchars_decode()

函式把預定義的 HTML 實體轉換為字元。

語法

htmlspecialchars_decode(string,flags)

引數

string

必需。規定要解碼的字串。

flags

可選。規定如何處理引號以及使用哪種文件型別。

可用的引號型別：

• ENT_COMPAT - 預設。僅解碼雙引號。
• ENT_QUOTES - 解碼雙引號和單引號。
• ENT_NOQUOTES - 不解碼任何引號。

規定使用的文件型別的附加 flags：

• ENT_HTML401 - 預設。作為 HTML 4.01 處理程式碼。
• ENT_HTML5 - 作為 HTML 5 處理程式碼。
• ENT_XML1 - 作為 XML 1 處理程式碼。
• ENT_XHTML - 作為 XHTML 處理程式碼。

示例

一個完整的網站總是有表單填寫的，而表單傳遞資料無非是 GET 和 POST 。如果不對錶單傳遞的資料進行字元轉義，將會帶來不可預計的影響。

未轉義

• 一個 GET 請求響應頁面 input.php：

  <?php
  echo "hello ".$_GET['name'];
  

• 通過 URL 傳遞 GET 資料：

  • 傳遞資料 ?name=<a href="https://www.baidu.com">123</a> 。

  http://localhost:63342/ideastaweb/test/input.php?name=<a href="https://www.baidu.com">123</a>
  

• 此時，網頁顯示的是一個超連結，點選跳轉到百度：

  

• 或者是一個 POST 請求響應頁面 input_post.php：

  <?php
  echo "hello ".$_POST['name'];
  

  通過一個表單頁面傳送 POST 請求 post.html：

  <!DOCTYPE html>
  <html lang="en">
  <head>
      <meta charset="UTF-8">
      <title>Title</title>
  </head>
  <body>
  <form id="form" name="form" method="post" action="input_post.php">
      <input type="text" name="name" id="name" value=""
             placeholder="您的暱稱"/>
      <input type="submit" class="button" value="傳送"/>
  </form>
  </body>
  </html>
  

  輸入框中輸入 <a href="https://www.baidu.com">123</a> 。

  

• 這時同樣是超連結。

執行轉義

• 對 echo 的語句內容進行轉義：

  GET：

  <?php
  echo htmlspecialchars("hello ".$_GET['name']);
  

  POST：

  <?php
  echo htmlspecialchars("hello ".$_POST['name']);
  

• 通過各自的請求方式都顯示 HTML 實體：

  

解碼

• 解碼時，flag 引數應與轉義時一致。