问题标签 [htmlspecialchars]

与 PHP 结合使用的标签有一点问题。我的代码是：

当我使用"Niederländische Zitate"浏览器输出“Niederländische Zitate” 当我使用"Niederländische Zitate"浏览器输出“Niederländische Zitate”

任何人都知道如何解决这个问题？

基本上在显示来自 MySQL 数据库的数据时，我在htmlspecialchars()下面有一个函数，应该将单引号和双引号转换为它们的安全实体。我遇到的问题是查看源代码，它仅< > &在我还需要它来转换单引号和双引号时才进行转换。

然后当我想使用例如我做：

有人能告诉我为什么它不转换单引号和双引号吗？

更新

奇怪的htmlsan()是用于电子邮件中的评论，当我查看电子邮件的源代码时，它会转换它们，似乎它不会转换数据库中显示在网页上的单引号/双引号。我的数据库排序规则也设置为 utf8_general_ci 并且我声明我在数据库连接等上使用 utf8。

我正在建立一个小型论坛，并在我发表评论时遇到了这个问题。<里面有然后 htmlspecialchars 将其转换为>. 链接到论坛（它是丹麦语，但您应该能够使用它）。

嗨，我想知道什么时候使用 htmlspecialchars() 合适。是在将数据插入数据库之前还是从数据库中检索它们时？

我将html数据存储在数据库中。

html 数据非常简单，由所见即所得的编辑器生成。

在我将 html 数据存储在数据库中并通过 HTMLPurifier 运行它之前，以消除任何不良情况。

当我将数据输出回浏览器时，因为它是 html 数据，显然我不能使用 php 的 htmlspecialchars()。

我想知道就 XSS 攻击而言，这是否存在任何问题。在保存到数据库之前通过 HTMLPurifier 传递数据是否足够？我有什么遗漏/我应该采取的其他步骤吗？

在此先感谢您的帮助。

我已将我的网站从 interspire CMS 迁移到 Joomla！CMS。我已经设法迁移所有文章数据库，但其中一些有一个奇怪的问题 - 当我从 joomla 访问页面时，标题包含 HTML 实体，如’.

正如你可以从我使用的 CMS 中猜到的那样，我依赖 PHP 作为我的服务器端，而 MySql 作为我的数据库。

我试图用htmlspecialchars_decodeAND来检查数据库中文章的标题html_entity_decode以消除这些标题，但没有效果。

如果我只是从数据库中获取一个示例并对其进行响应，它看起来会很好：您的乐趣是什么，千层面或比萨曼彻斯特风格？

如果我转到 joomla 中的文章页面，它将如下所示： What’s Your Pleasure, Lasagna Or Pizza Manchester Style?

当我去 PhpMyAdmin 直接查看数据库中的内容时，这是标题的内容： What’s Your Pleasure, Lasagna Or Pizza Manchester Style?

我什至尝试使用以下方法删除符号：

或像这样替换它

但什么都没有。当我尝试再次对其进行编码而不是对其进行解码时（只是为了看看我是否在正确的数据库上）它工作并再次对其进行了编码......

拜托，我很高兴有任何新的想法......谢谢，Yanipan

我已向我的管理员添加了功能，因此它会保留您在要求您登录之前尝试访问的 URL。所以，如果你去：

/admin/foo/bar?baz

它会将您重定向到：

/admin/auth/login

登录后，在我的功能插件之前，你总是去/admin/user/profile. 现在，我保存/admin/foo/bar?baz在一个会话变量中，$_SESSION['from'].

在 login<form>中，隐藏的值取会话的值：

<input type="hidden" name="from" value="<?php echo htmlspecialchars($_SESSION['from'];)?>">

然后，在提交表单后会发生重定向：

我已经看到与 XSS 和 htmlspecialchars 相关的其他问题，并且知道它不会修复所有可能的 XSS 尝试，但是这是否可以成功对抗“低级”XSS 尝试？

设想：

我想替换：" ' < >使用" ' < > 但保留 "&" 字符。

我正在处理的字符串是一个 URL，我希望 URL 参数用 分隔&，而不是&.

示例解决方案：

问题：

如果我$url在我的页面上使用（例如echo $url;在 HTML 或 JavaScript 中）这会被 XSS 利用吗？

类似问题：

SO上有其他关于XSS &的帖子，htmlspecialchars()但我找不到关于“&”字符（以及它可能允许的htmlentities）是否可以让您暴露于XSS的答案。

• 将 : < 和 > 替换为 < 和> 足以防止 XSS 注入？

• PHP 中的 htmlspecialchars() 或 Ruby on Rails 中的 h() 是否足以防御所有 XSS（跨站点脚本）攻击？

我正在使用 input->post 在我的 codeigniter 项目中获取数据。我假设这将自动过滤引号，我不需要使用addlashes() / htmlspecialchars() 函数。

但它不检查报价。

我也尝试编辑 core>input.php 但没有帮助。在配置中启用 XXS 也无济于事。

建议我过滤报价的简单方法，这样我就不必在所有页面中进行编辑。

我有一个脚本可以将数据从 MYSQL 导出到 CSV 文件。数据是数字、文本和特殊字符。所有字段都用双引号分隔并用逗号分隔。

我需要以下列形式导出数据：

“这是一个 (x2”) 严重语法化的句子。是的，“不”，也许还有更多。”，“0043”，“假”等。

但是，当我将 htmlsepcialchars 应用于每个字段时，我只能让它工作。数据需要保持如上，但是当它进入 Excel 或 Calc 时，一些逗号和单引号等会搞砸。意思是一些句子在一个单元格中，更多在另一个单元格中。

}