htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
语法为:htmlspecialchars(string,quotestyle,character-set)
HTMLSpecialChars重要性 如果不用HTMLSpecialChars,就会导致读取时,要把"
<script>"之类的HTML标签“原本”的输出,而这一输出就有漏洞了,万一那个插入数据库的人是黑客,插入的不是一般的字符串,而是
“ <script> <b>
<body>”等等之类的东西,读取后,就是一个HTML文档之类的东西,这样,他可以利用这个漏洞欺骗其他人,或者借这个漏洞攻击别人等
等,搞个框架跳转到某一网站等等操作。提示和注释 提示:无法被识别的字符集将被忽略,并由 ISO-8859-1 代替。例子
<html>
<body>
<?php
$str = "John &
'Adams'";
echo htmlspecialchars($str, ENT_COMPAT);
echo "<br />";
echo htmlspecialchars($str, ENT_QUOTES);
echo "<br />";
echo htmlspecialchars($str, ENT_NOQUOTES);
?>
</body>
</html>
浏览器输出: John &
'Adams' John &
'Adams' John &
'Adams'
如果在浏览器中查看源代码,会看到这些 HTML:
<html> <body> John &
amp;
'Adams'<br /> John &
amp;
&
#039;
Adams&
#039;
<br /> John &
amp;
'Adams' </body> </html>