问题标签 [htmlspecialchars]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - PHP: htmlspecialchars
我是编程新手,我正在尝试将 htmlspecialchars 应用于下面的脚本,但所有尝试都只是导致错误消息。我相信它应该类似于:echo htmlspecialchars($lines),但不确定这将如何应用于下面的代码,或者我是否应该使用其他东西。
最终结果应将 .txt 文件中的文本转换为: Anna said she \"wouldn\'t go to Hannah\'s house\"。
to:安娜说她“不会去汉娜家”。
php - 使用 PHP PDO 时我应该清理/过滤用户输入和输出吗?
我正在使用 PDO 来进行用户输入,但现在在显示我的 MySQL 数据库中的内容时我没有使用 PDO(仍然是 SQL 命令的老式方式......)。
将数据插入 MySQL 数据库时是否需要过滤/清理用户的输入?
并且,如果要走的路是清理输出,那么清理输出的最佳方法是什么?如果我只是使用htmlspecialchars()还是我还需要使用strip_tags()其他东西,我可以走了吗?
我正在使用占位符和准备好的语句。
谢谢你。
php - 输出用户输入 - 防止 xss
我的站点中有一个管理部分,可以存储项目。一旦它们被存储,它们就会显示在前端。我的部分展示涉及如下代码:
这是否需要在其中包含 htmlspecialchars 以防止低级别的 xss?
php - 如何为文本框值实现 htmlspecialchars?
您好,我目前正在使用表格将值输入到自定义元字段中。我有一个名为剧集标题的文本框。我的问题是,如果在字段中添加字符“”,那么一切都会变得混乱。我想使用 htmlspecialchars 将值输入为 " 和 ' 而不是“”。以下代码无法隐藏字符。有人可以帮忙吗?
php - 有时 fputs() 或 fwrite() 会编码 html 特殊字符吗?
我正在将包含 html 内容的字符串输出到 html 文件,但在 html 文件中,html 特殊字符被编码(例如"在 中\")。在使用 write 函数之前,我什至使用过 htmlspecialcharacters_decode。奇怪的是,在我的计算机上,字符没有被编码,而在某些服务器上上传的字符是被编码的。我该如何处理这个问题?
期待感谢!
php - htmlspecialchars() 正在翻译其他特殊字符
htmlspecialchars() 似乎正在将特殊字符翻译如下: āķūņūķī到它们各自的实体编号:
ā ķ ū ņ ū ķ ī
虽然有些仍未翻译,例如:
什
我希望htmlspecialchars()(或其他一些功能)不翻译这些字母类型的字符......所以它只翻译以下内容(正如它似乎在php.net 手册上指出的那样):
- ' & '(和号)变为'&'
- ' " ' (双引号) 变成 '"' 当 ENT_NOQUOTES 未设置时。
- " ' " (单引号) 变成 ''' 仅当设置了 ENT_QUOTES 时。
- ' < '(小于)变为'<'
- ' > '(大于)变成'>'
我需要这个的原因是因为在一个 POST 请求之后,我htmlspecialchars()在将它放回一组新的 html 输入之前运行这个用户输入。&,",',<,>等字符需要翻译,以免导致显示错误等。但我需要' āķūņūķī '等特殊字符保持不变。否则用户会很困惑。
codeigniter - 在 codeigniter 中的同一变量上使用 html_escape 和 auto_link
我想在我的网站上显示用户评论,我正在使用 html_escape(Codeigniter 中的 htmlspecialchars)转义输出。但我也想使用 Codeigniter 的 auto_link 函数激活评论中的 URL。
如何将这两个函数应用于相同的变量/内容?
我必须使用 html_escape,因为我不信任用户内容;但如果可能的话,我想显示输入的 URL。注意:html_escape 和 auto_link 中的字符没有冲突。
php - 使用 htmlspecialchars() 只转义单引号(不理会双引号)
我知道还有其他方法可以只转义单引号(例如这个答案),但在我看来应该有一种使用htmlspecialchars()的方法。
根据手册,应该是它们常量的某种组合,但根据他们的解释,我看不到。
是否可以只转义单引号,而单独留下双引号htmlspecialchars()?
php - 避免在动态内容上使用 htmlspecialchars() ![]()
,同时避免 XSS 攻击
我需要你的帮助来解决一个非常简单的问题。我网站的某些页面的内容存储在MySQL数据库中,我在输出到浏览器时对其应用 了htmlspecialchars(),但实际上有合法<img src="images/me.jpg">的,它们呈现为纯文本,同时它们应该是有效的图片部分文章内容。
如何成功显示图像,同时避免可能的 XSS 攻击等。
谢谢
php - 我应该使用 nl2br(htmlspecialchars($text)) 来回显/打印到屏幕上的所有内容吗?
标题有点说明了一切。我应该使用 nl2br(htmlspecialchars($text)) 来回显/打印到屏幕上的所有内容吗?
我一直在环顾四周,似乎这个词是在处理来自用户的输入时,通过将其转义并将其插入数据库来对其进行清理。然后从数据库中检索时,如果我打算将其吐出到屏幕上,我应该使用 htmlspecialchars() 将不友好的字符转换为安全的等效字符,如果我想将换行符转换为换行符,则使用 nl2br() 围绕它?
我是否应该创建一个名为 safeEcho() 的新函数,echo nl2br(htmlspecialchars($text))它在我可能不得不输出可能来自用户的任何地方使用它,而不是通常的 echo/print 语句?