Cara Mengeluarkan HTML Dikodkan dengan Selamat daripada PHP: Apakah Cara Terbaik untuk Melarikan Petikan dan Kurungan Sudut?

Cara Mengeluarkan HTML Dikodkan dengan Selamat daripada PHP

Apabila mengeluarkan HTML daripada PHP, terdapat beberapa kemungkinan perangkap yang boleh mengakibatkan kelemahan keselamatan atau isu pemaparan.

Satu isu biasa ialah keperluan untuk melepaskan petikan berganda dan petikan tunggal dalam atribut HTML. Contohnya, jika pembolehubah PHP $variable mengandungi petikan berganda ("), ia mesti ditukar kepada " untuk mengelakkan penghurai HTML daripada mentafsir aksara petikan sebagai penghujung atribut.

Walau bagaimanapun, jika $variable mengandungi petikan berganda dan petikan tunggal, ia menjadi lebih rumit kerana anda perlu menukar petikan tunggal kepada ' tetapi biarkan petikan berganda seperti sedia ada.

Selain itu, pembolehubah mungkin termasuk kurungan sudut (< dan > ;), yang boleh mengganggu struktur HTML.

Penyelesaian

Untuk melepaskan keluar keluaran HTML dengan selamat, fungsi htmlspecialchars() boleh digunakan:

Menetapkan parameter kedua, $quote_style, kepada ENT_QUOTES adalah dinasihatkan.
Isu berpotensi timbul jika $variable sudah dikodkan, anda mungkin perlu menetapkan parameter terakhir, $double_encode, kepada palsu.
Atas ialah kandungan terperinci Cara Mengeluarkan HTML Dikodkan dengan Selamat daripada PHP: Apakah Cara Terbaik untuk Melarikan Petikan dan Kurungan Sudut?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!