在 PHP 中编码 HTML

html 编码是在处理用户提供的数据时试图在 PHP WEB 应用程序中防止跨站脚本 XSS。本教程将教你如何使用 htmlentities()、htmlspecialchars() 和自定义方法对数据进行编码。

使用 htmlspecialchars() 编码

php htmlspecialchars() 是一个内置函数，可以将特殊字符转换为 HTML 实体。语法如下：

htmlspecialchars( $string, $flags, $encoding, $double_encode )

参数说明：

• $string: 输入字符串
• $flags：指示函数应如何处理字符串中的引号的标志
• $encoding：指定函数使用的编码。该参数是可选的
• $double_encode：一个布尔属性，指示 PHP 是否将对现有实体进行编码。如果将其设置为 false，PHP 将不会对现有实体进行编码

像所有函数一样，htmlspecialchars() 返回一个值。它的值是转换后的字符串。但是，如果函数认为该字符串无效，它将返回一个空字符串。

下一个示例展示了如何使用 htmlspecialchars() 转换字符串。你会观察到该函数未与任何标志一起使用。

<?php
    $stringToEncode = "A <b>bold text</b> a'nd á <script>alert();</script> tag";

    $encodedString = htmlspecialchars($stringToEncode);

    echo $encodedString;
?>

输出：

A <b>bold text</b> a'nd á <script>alert();</script> tag

当你查看网页的源代码时，你会发现撇号和 á 字符未编码：

A <b>bold text</b> a'nd á <script>alert();</script> tag

现在，如果你向 htmlspecialchars() 提供标志和编码格式，撇号会被编码，但 á 不会。

<?php
    $stringToEncode = "A <b>bold text</b> a'nd á <script>alert();</script> tag";

    $encodedString = htmlspecialchars($stringToEncode, ENT_QUOTES, 'UTF-8');
    
    echo $encodedString;
?>

输出：

A <b>bold text</b> a'nd á <script>alert();</script> tag

页面的查看源代码显示浏览器将撇号编码为'：

A <b>bold text</b> a'nd á <script>alert();</script> tag

用 htmlentities() 编码

htmlentites() 也是一个内置的 PHP 函数。使用 htmlentities()，所有适用的字符都将转换为 HTML 实体。它的语法如下：

htmlentities( $string, $flags, $encoding, $double_encode )

下面是对参数的解释：

• $string: 输入字符串
• $flags：指示函数应如何处理字符串中的引号的标志
• $encoding：指定函数使用的编码。该参数是可选的
• $double_encode：一个布尔属性，指示 PHP 是否将对现有实体进行编码。如果将其设置为 false，PHP 将不会对现有实体进行编码

此函数的返回值是编码字符串。

以下是使用 htmlentities() 转换字符串的示例。这里 htmlentities() 不与任何标志一起使用。

<?php    
    $stringToEncode = "A <b>bold text</b> ánd a <script>alert();</script> tag's";

    $ecodedString = htmlentities($stringToEncode);

    echo $ecodedString;
?>

输出：

A <b>bold text</b> ánd a <script>alert();</script> tag's

该页面的视图源显示该函数对á字符进行了编码，没有任何标志，但撇号没有编码。

A <b>bold text</b> ánd a <script>alert();</script> tag's

对代码的更改将允许函数对撇号进行编码。

<?php
    $stringToEncode = "A <b>bold text</b> ánd a <script>alert();</script> tag's";

    $ecodedString = htmlentities($stringToEncode, ENT_QUOTES, 'UTF-8');

    echo $ecodedString;
?>

输出：

A <b>bold text</b> ánd a <script>alert();</script> tag's

查看页面来源：

A <b>bold text</b> ánd a <script>alert();</script> tag's

使用 htmlentities() 和 HTML5 编码进行编码

当字符串中有非英文字符时，可以使用 HTML 5 标志和 UTF-8 编码。

HTML5 标志指示函数将字符串视为 HTML5，而 UTF-8 标志允许函数理解任何标准 Unicode 字符。

以下是如何使用带有 HTML5 标志和 UTF-8 编码的 htmlentities() 的示例：

<?php
    $stringToEncode = "àéò ©€ ♣♦ ↠ ↔↛ āžšķūņ ↙ ℜ℞ ∀∂∋ rūķīš ○";

    $ecodedString = htmlentities($stringToEncode, ENT_HTML5, 'UTF-8');
    
    echo $ecodedString;
?>

查看页面来源：

àéò ©€ ♣♦
↠ ↔↛ &aMacr;žš
ķūņ ↙ ℜ℞ ∀∂∋
rūķīš ○

使用自定义方法编码

如果你想滚动编码方案，自定义方法可以派上用场。此方法将获取你的输入字符串并应用一些字符串操作。最后，你会得到一个编码字符串。

下面的 HTML 有一个文本区域和一个提交按钮。表单 action 指向一个文件，该文件将对传递到表单输入的字符串进行编码。

<main>
    <h1>Enter and HTML code and click the submit button</h1>
    <fORM action='encodedoutput.php' method='post'>
        <div class="form-row">
            <textarea rows='15' cols='50' name='texttoencode' required></textarea>
        </div>
        <div class="form-row">
            <input type='submit'>
        </div>
    </form>
</main>

下一个代码块是执行编码的 PHP 代码。将其保存为 encodedoutput.php。

<?php
    if (isset($_POST['texttoencode']) && !empty($_POST)) {
        // Check for empty text
        if ($_POST['texttoencode'] == "") {
            echo "Invalid text";
            die();
        }

        $inputHTML = bin2hex($_POST['texttoencode']); 
        $spiltHTML = chunk_split($inputHTML, 2 ,"%");
        $HTMLStringLength = strlen($spiltHTML);
        $HTMLSubLength = $HTMLStringLength - 1;
        $HTMLSubString = substr($spiltHTML,'0', $HTMLSubLength);

        $encodedOutput="<script>document.write(unescape('%$HTMLSubString'));</script>";

    } else {
        echo "Not allowed";
        die();
    }
?>

<textarea rows='15' cols='60'>
    <?php
        if ($encodedOutput) {
            echo $encodedOutput;
        } else {
            echo "";
            die();
        }
    ?>
</textarea>

<script>alert("Hello world");</alert> 的示例输出：

<script>document.write(unescape('%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%22%48%65%6c%6c%6f%20%77%6f%72%6c%64%22%29%3b%3c%2f%61%6c%65%72%74%3e'));</script>