问题标签 [htmlspecialchars]

我正在开发一个使用 jQuery、PHP 和 JSON 作为响应的依赖选择脚本。

一切都很顺利，除了使用像法语这样的特殊字符（é，è，à...）

如果我像 (é , è , à) 一样对它们进行预编码（这里我在与号和单词的其余部分之间使用空格来防止在我的问题中自动编码）它可以工作，但是当使用 jquery 呈现字符时不会转换为应有的样子 (é...)，而是按原样显示 (é)

如果我将它们写成 (é) 并且不对它们进行预编码，则不会显示此数组条目中的完整值。

我应该在这里做什么？

谢谢。

我想知道使用以下代码是否有明显的缺点：

我意识到可能没有必要在每个变量上使用 htmlspecialchars。任何人都知道这是否很好？

更新：

因为我认为我上面的代码行不通，所以我用我正在使用的代码来更新它（尽管对这些建议持否定态度）。:)

为什么如果我传递 a$_POST['string'] = "<?php echo 'hey' ?>"然后我将它传递给 xss_clean() 并带有 echo$this->input->post('string',true);它输出为 <?php echo 'hey' ?>而不是 输出<?php echo 'hey' ?>？

嗨，我想知道，但也许我错过了一些关于htmlspecialchars()，为什么这个函数不能替换所有这些 html 特殊字符 html 特殊字符列表

原因例如%我可以看到char没有被替换

php手册说：

那么其他字符呢？没有功能可以全部替换？

我的理解是，所有变量都应该通过 htmlspecialchars() 在视图中输出。

是否有任何方法或方法可以做到这一点，而不必在每个视图的每个适当行上指定函数？

我能想到的最好的方法是有一个如下的辅助函数：function html_escape($var)

但是……这可能会变得非常乏味！

有任何想法吗？

如何去除特殊字符

以上是我从 xml 提要中获得的城市名称。它直接插入我的mysql数据库。现在我想删除这种特殊字符。

我有一个从数据库加载内容的页面。我将页面设置为使用 utf-8

我已将 db 上的排序规则设置为 utf8_unicode_ci，并使用以下命令从 mysql 访问该字段：

我这样做是为了修复智能引号和破折号。但是，现在任何包含这些字符的字段都将返回空白。如果我在我的 htmlspecialchars 调用中去掉 'UTF-8' 参数，我会得到完整的文本，而引号应该是带问号的菱形字符。有什么我想念的吗？

我正在访问的 Web 服务发送以下响应...

如何剥离这些编码标签的字符串？

我的用户可以向我的数据库中插入任何内容。

因此，不能选择使用白名单/黑名单字符。

我并不担心（涵盖它）数据库端（SQL 注入），而是我的页面中的代码注入。

是否存在htmlspecialchars()不足以防止代码注入的情况？

在 htmlspecialchars 函数中，如果设置了 ENT_SUBSTITUTE 标志，它应该替换一些无效字符。

什么字符被替换？无效字符与用于替换它的字符之间的映射是什么？