PHP htmlspecialchars()函数详解

PHP htmlspecialchars()函数详解

htmlspecialchars函数多常用于防止xss攻击，htmlspecialchars函数要转义单引号需要设置第二个参数为ENT_QUOTES，转义双引号需要设置第二个参数为ENT_NOQUOTES

一、定义和用法

htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。

预定义的字符是：

& (& 符号)  ===============  &
" (双引号)  ===============  "
' (单引号)  ===============  '
< (小于号)  ===============  <
> (大于号)  ===============  >

bold text.";
echo htmlspecialchars($str);
?>

上面代码的 HTML 输出如下（查看源代码）：

This is some <b>bold</b> text.

二、第二个参数

htmlspecialchars(string,flags,character-set,double_encode)

第二个参数flags可选。规定如何处理引号、无效的编码以及使用哪种文档类型。可用的引号类型：

ENT_COMPAT - 默认。仅编码双引号。

ENT_QUOTES - 编码双引号和单引号。

ENT_NOQUOTES - 不编码任何引号。

注意：htmlspecialchars函数多常用于防止xss攻击，htmlspecialchars函数要转义单引号需要设置第二个参数为ENT_QUOTES，转义双引号需要设置第二个参数为ENT_NOQUOTES

bold text.";
echo htmlspecialchars($str);
echo "
";
$str = "Jane & 'Tarzan'";
echo htmlspecialchars($str, ENT_COMPAT); // 默认，仅编码双引号
echo "
";
echo htmlspecialchars($str, ENT_QUOTES); // 编码双引号和单引号
echo "
";
echo htmlspecialchars($str, ENT_NOQUOTES); // 不编码任何引号
?>

浏览器输出：

This is some bold text.
Jane & 'Tarzan'
Jane & 'Tarzan'
Jane & 'Tarzan'

查看源代码：

This is some <b>bold</b> text.

Jane & 'Tarzan'

Jane & 'Tarzan'

Jane & 'Tarzan'

三、防止绕过

编码-将HTML转为实体

/**
 * 将HTML转为实体
 * @param string $str     需要处理的字符串
 * @param string $charset 编码，默认为gb2312
 * @return string
 */
function html_to_entities($str, $charset = "gb2312")
{
   // 参数判断
    if(empty($str)) return "";
    
    // 1.将常用的预定义字符转为实体
    $new_str = htmlspecialchars($str, ENT_QUOTES, $charset);

    // 2.替换反斜杠
    $new_str = preg_replace("/\\\/", "\", $new_str);

    // 3.替换斜杠
    $new_str = preg_replace("/\//", "/", $new_str);
    
    return $new_str;
}

解码-将实体转为HTML

/**
 * 将实体转为HTML
 * @param string $str     需要处理的字符串
 * @return string
 */
function entities_to_html($str)
{
   // 参数判断
    if(empty($str)) return "";
    
    // 1.将实体转为预定义字符
    $new_str = htmlspecialchars_decode($str, ENT_QUOTES);

    // 2.替换反斜杠实体
    $new_str = str_replace("\", "\\", $new_str);

    // 3.替换斜杠实体
    $new_str = str_replace("/", "/", $new_str);
    
    return $new_str;
}

四、小结

一般使用htmlspecialchars将字符串的预定义字符转为实体的时候，需要传递ENT_QUOTES参数，因为如果不传递参数，默认的只对双引号做转换，而单引号不做转换，这样不能起到防止SQL注入的风险，所以，正式用的时候，我们希望双引号和单引号及其他可能引起SQL注入的都需要进行实体转换，存入数据库，所以，以后在用这个函数处理的时候，应该传入ENT_QUOTES参数，然后再结合preg_replace方法将斜杠、反斜杠替换为实体，这样就完美了。