本文对比了htmlspecialchars与strip_tags两个PHP函数的功能与应用场景。详细解释了它们如何处理HTML标签及在防止XSS攻击中的作用。
原文地址:http://www.manongjc.com/article/1103.html
先来看一下htmlspecialchars函数和strip_tags函数的使用实例:
[php] view plain copy
- <?php
- $str="<a href='http://www.manongjc.com'>码农教程'\"</a>";
- echo htmlspecialchars($str);
- echo "<br/><br/>";
- echo strip_tags($str);
- ?>
浏览器输出如下结果:
[html] view plain copy
- <a href='http://www.manongjc.com'>码农教程'"</a>
- 码农教程'"
查看页面源码,结果如下:
[html] view plain copy
- <a href='http://www.manongjc.com'>码农教程'"</a><br/><br/>码农教程'"
从结果可以看出htmlspecialchars() 和strip_tags的区别如下:
区别一:
strip_tags函数使用来去除HTML标签的,而htmlspecialchars并没有去除html标签,只是把标签转换为HTML实例,所以二者之间最大的区别是一个是删除掉HTML标签,一个是将html标签转换为其他字符。
区别二:
如果需要去除HTML标签的字符串里面的标签原来就有错,例如少了大于的符号,在使用strip_tags函数会传回错误,而htmlspecialchars不会有错误出现,依然后转换为HTML实体。
区别三:
在防止XSS攻击时,一般建议使用htmlspecialchars函数,因为strip_tags虽然可以删除HTML标签,但是它不会删除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函数来过滤掉"或'
在表单提交或用户留言板里,如果你希望数据原始输出带浏览器,那么请使用htmlspecialchars函数,不要使用strip_tags函数。
参考阅读:
http://www.manongjc.com/article/1213.html
http://www.manongjc.com/article/1099.html
http://www.manongjc.com/article/795.html
补充:
1,不保留任何HTML标签
复制代码代码示例:
echo strip_tags($str);
2,只保留<p>一个标签的话,只需要将<p>字符串写到strip_tags的第二个参数中。
复制代码代码示例:
echo strip_tags($str, "<p>");
3,要保留<p>与<b>…多个标签,只需要将多个标签用空格分隔后写到strip_tags的第二个参数中。
复制代码代码示例:
echo strip_tags($str, "<p> <b>");
4,保留所有标签,仅仅转义用addslashes(), stripslashes(), htmlspecialchars(), htmlentities(), nl2br() 等函数.
addslashes(), stripslashes() 一般是入数据库和出库的时候使用,以免变量中存储类似引号这些关键词,这样的话,本来是内容的部分却被数据库识别为标识符来执行,就会引起错误.
htmlspecialchars() 函数只用来转义少量HTML, &,双引号,大于号和小于号.并不会全部转换成 HTML 所定的 ASCII 转换
htmlentities() 本函数有点像 htmlspecialchars() 函数,但本函数会将所有 string 的字符都转成 HTML 的特殊字集字符串。
不过在转换后,阅读网页源代码时,尤其是网页源代码的中文字,在浏览时会显示不正常,这点要注意下。
扫一扫
349
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
