在开发中,经常需要对用户传过来的数据进行过滤,来阻止一些用户的恶意输入,在PHP中常用到htmlspecialchars()
、htmlentities()
和strip_tags()
函数来处理。
今天在使用htmlspecialchars()
做特殊字符的转换时,一直返回null
,当我换成htmlentities()
也是同样的问题,查官方手册才发现原来是编码的问题。
函数声明:
问题主要处在第三个参数上,对于第三个参数官方是这么说的:
这个参数的作用是设置转换字符时采用的编码,在PHP 5.4 和5.5中使用了UTF-8作为默认编码,而在PHP 5.4之前使用ISO-8859-1作为默认编码,从PHP 5.6开始就使用PHP配置文件中的default_charset
参数作为默认编码。encoding
参数支持的字符集:
从PHP的更新日志也能看到这个参数的变化:
一般我们是这么使用的:
$str='<a href="test.html">\'测试页面\'</a><script>alert(213)</script>';
echo htmlspecialchars($str);
// 输出:<a href="test.html">'测试页面'</a><script>alert(213)</script>
今天在使用的时候,结果一直返回null,其实就是编码的问题,这个时候就需要用到第三个参数了:
echo htmlspecialchars($string, ENT_COMPAT,'ISO-8859-1', true);
同样,也适用于htmlentities
:
echo htmlentities($string, ENT_COMPAT,'ISO-8859-1', true);