13

我需要帮助来理解 Zend 框架中辅助函数的实际操作。

在将字符串打印到模板中之前,我需要有人向我解释对$this->escape($string)传递给它的字符串的实际作用。

4

3 回答 3

17

$this->escape()根据您可以提供的设置转义字符串$this->setEscape('functionname'),默认情况下它是 PHP 的 htmlspecialchars 函数。

http://framework.zend.com/manual/en/zend.view.scripts.html

于 2009-12-18T00:06:10.343 回答
7

它调用htmlspecialchars PHP 函数

执行的翻译是:

  • '&'(和号)变为 '&'
  • '"' (双引号) 变成 '"'
  • '<'(小于)变为 '<'
  • '>' (大于)变成 '>'
于 2009-12-18T00:02:53.783 回答
1

在 PiKe 项目中,我们构建了一个自定义流包装器,该包装器自动转义所有视图变量,默认情况下对 XSS 是安全的,对性能的影响最小!您仍然可以通过以下方式获取 RAW 值:

<?=~ $variable ?>

注意“~”字符。结帐http://code.google.com/p/php-pike/wiki/Pike_View_Stream

于 2011-09-16T08:41:02.427 回答