首页 » PHP » 正文

PHP中 htmlspecialchars() 函数的具体作用

发表于: PHP,JS,Golang,Shopify学习交流博客 – 咪啪咪啪的小木屋 · 2017-2-22 ·  6,908 views  ·  0 replies 

有的时候,我们在做防止注入的时候,都会加上一句这个

htmlspecialchars($value); 

但是这样并不是万事大吉了,我们先来看一看这个函数的官方文档中的介绍:

//把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体:
显示结果 描述 实体名称 实体编号
空格 &nbsp; &#160;
< 小于号 &lt; &#60;
> 大于号 &gt; &#62;
& 和号 &amp; &#38;
引号 &quot; &#34;
撇号 &apos; (IE不支持) &#39;
分(cent) &cent; &#162;
£ 镑(pound) &pound; &#163;
¥ 元(yen) &yen; &#165;
欧元(euro) &euro; &#8364;
§ 小节 &sect; &#167;
© 版权(copyright) &copy; &#169;
® 注册商标 &reg; &#174;
商标 &trade; &#8482;
× 乘号 &times; &#215;
÷ 除号 &divide; &#247;

以上表格是常用的HTML实体字符,可以看出,这个函数确实会能抵挡一些攻击,但是还是会有一些其他的攻击手段,这个函数就无能为力了,所以这时候我们可以再补充一些特换方法,用替换手段来完成过滤函数,举个例子:

$str = str_replace('%', '', $str);

想要完整防止攻击,要做的事情还有很多,这里就不一一举例了

«上一篇: :下一篇»

0 thoughts on “PHP中 htmlspecialchars() 函数的具体作用”

  1. 还没有任何评论,你来说两句吧

Leave a reply