htmlspecialchars 是 PHP 中的一个非常有用的函数,用于将特殊字符转换为 HTML 实体。这样可以防止跨站脚本攻击(XSS)。以下是一个简单的实例:
<?php
// 原始字符串
$original_string = "<script>alert('XSS Attack!');</script>";
// 使用 htmlspecialchars 函数转换特殊字符
$safe_string = htmlspecialchars($original_string, ENT_QUOTES, 'UTF-8');
// 输出转换后的字符串
echo $safe_string;
?>
在这个例子中,我们首先定义了一个包含恶意脚本的原始字符串 $original_string。然后,我们使用 htmlspecialchars 函数将其转换为安全的 HTML 实体字符串 $safe_string。最后,我们输出转换后的字符串。这样,浏览器将不会执行脚本,从而防止了 XSS 攻击。
注意,htmlspecialchars 的第二个参数 ENT_QUOTES 表示我们希望使用引号包围属性值,这是 HTML 4.01 和 XHTML 1.0 标准的要求。第三个参数 'UTF-8' 指定了输入字符串的字符编码。