php экранировать html теги
Преобразование HTML-кода (htmlspecialchars)
Межсайтовый скриптинг (XSS) является одним из наиболее распространенных уязвимостей в веб-приложениях. Однако защититься от этой атаки довольно просто — достаточно изменить символы и &, которые непосредственно влияют на HTML-страницу. Если же нужно передать атрибуты тэгов, нужно экранировать кавычки: « и ‘.
В PHP это можно сделать с помощью функции htmlspecialchars, которая кодирует приведенные выше символы (для преобразования кавычек следует использовать атрибут ENT_QUOTES):
Функция htmlspecialchars() преобразует в >, двойная кавычка становится «, а одинарная ‘. Тем самым исключается возможность внедрения скриптов или ссылок на страницу, а также изменение структуры HTML-кода.
Следует отметить, что у страницы должна быть указана кодировка в Content-Type, иначе может использоваться другой набор символов, которые имеют другие значения (например, UTF-7).
Функция htmlentities идентичная функции htmlspecialchars, но она заменяет все возможные HTML-сущности. Она может быть использована со старыми кодировками, но с Unicode ее обычно не используют.
Переводы документов с иностранного языка на русский в основном требуются частным лицам. Это могут быть деловые документы, письма и прочие. Вы можете заказать перевод азербайджанского языка на русский в компании «Мастер Перевода». Выгодные цены и короткие сроки перевода вас непременно порадуют и вы придете туда вновь!
Автоматическое экранирование
Если защита от XSS настолько проста, то почему же межсайтовый скриптинг является такой распространимой уязвимостью? Причина в том, что программисты иногда забывают использовать функции экранирования символов. И так бывает на многих известных сайтах.
Конечно лучше было бы автоматизировать процесс экранирования HTML-кода. Большинство современных CMS предлагают автоматическое преобразование печатных данных. Например, в Smarty есть переменная $default_modifiers, в которую можно добавить фильтры для экранирования кода. Чистый PHP такой возможности не представляет.
Nette Latte фреймворк
Nette Latte — это шаблонизатор автоматического распознавания контекстного содержания:
Выводы
Избежать XSS атак довольно просто, достаточно не забывать использовать htmlspecialchars(). Но если это сложно для вас, можете использовать системы автоматической фильтрация данных, например Nette Latte. Эти методы должны с большой вероятностью исключить возможности XSS.
htmlspecialchars
(PHP 4, PHP 5, PHP 7, PHP 8)
htmlspecialchars — Преобразует специальные символы в HTML-сущности
Описание
Список параметров
Конвертируемая строка ( string ).
Необязательный аргумент, определяющий кодировку, используемую при конвертации символов.
Если не указан, то значение по умолчанию для encoding зависит от конфигурационной опции default_charset.
Хотя этот аргумент является технически необязательным, настоятельно рекомендуется указать правильное значение для вашего кода, опция конфигурации default_charset может быть задана неверно для входных данных.
Поддерживаются следующие кодировки:
| Кодировка | Псевдонимы | Описание |
|---|---|---|
| ISO-8859-1 | ISO8859-1 | Западно-европейская Latin-1. |
| ISO-8859-5 | ISO8859-5 | Редко используемая кириллическая кодировка (Latin/Cyrillic). |
| ISO-8859-15 | ISO8859-15 | Западно-европейская Latin-9. Добавляет знак евро, французские и финские буквы к кодировке Latin-1 (ISO-8859-1). |
| UTF-8 | 8-битная Unicode, совместимая с ASCII. | |
| cp866 | ibm866, 866 | Кириллическая кодировка, применяемая в DOS. |
| cp1251 | Windows-1251, win-1251, 1251 | Кириллическая кодировка, применяемая в Windows. |
| cp1252 | Windows-1252, 1252 | Западно-европейская кодировка, применяемая в Windows. |
| KOI8-R | koi8-ru, koi8r | Русская кодировка. |
| BIG5 | 950 | Традиционный китайский, применяется в основном на Тайване. |
| GB2312 | 936 | Упрощённый китайский, стандартная национальная кодировка. |
| BIG5-HKSCS | Расширенная Big5, применяемая в Гонконге. | |
| Shift_JIS | SJIS, SJIS-win, cp932, 932 | Японская кодировка. |
| EUC-JP | EUCJP, eucJP-win | Японская кодировка. |
| MacRoman | Кодировка, используемая в Mac OS. | |
| » | Пустая строка активирует режим определения кодировки из файла скрипта (Zend multibyte), default_charset и текущей локали (смотрите nl_langinfo() и setlocale() ) в указанном порядке. Не рекомендуется к использованию. |
Замечание: Остальные кодировки не поддерживаются, вместо них будет применена кодировка по умолчанию и сгенерировано предупреждение.
Если параметр double_encode выключен, то PHP не будет преобразовывать существующие html-сущности. По умолчанию преобразуется все без ограничений.
Возвращаемые значения
Преобразованная строка ( string ).
Примеры
Пример #1 Пример использования htmlspecialchars()
Php экранировать html теги
Описание string htmlspecialchars ( string string [, int quote_style [, string charset]] )
Производятся следующие преобразования:
‘&’ (амперсанд) преобразуется в ‘&’
‘»‘ (двойная кавычка) преобразуется в ‘»‘ when ENT_NOQUOTES is not set.
‘ ‘ (знак «больше чем») преобразуется в ‘>’
Пример 1. Пример использования htmlspecialchars()
Необязательный третий аргумент charset определяет кодировку, используемую при преобразовании. По умолчанию используется кодировка ISO-8859-1. Поддержка этого аргумента была добавлена в PHP 4.1.0.
Начиная с PHP 4.3.0 поддерживаются следующие кодировки.
Таблица 1. Поддерживаемые кодировки
| Кодировка | Псевдонимы | Описание |
|---|---|---|
| ISO-8859-1 | ISO8859-1 | Западно-европейская Latin-1 |
| ISO-8859-15 | ISO8859-15 | Западно-европейская Latin-9. Добавляет знак евро, французские и финские буквы к кодировке Latin-1(ISO-8859-1). |
| UTF-8 | 8-битная Unicode, совместимая с ASCII. | |
| cp866 | ibm866, 866 | Кириллическая кодировка, применяемая в DOS. Поддерживается в версии 4.3.2. |
| cp1251 | Windows-1251, win-1251, 1251 | Кириллическая кодировка, применяемая в Windows. Поддерживается в версии 4.3.2. |
| cp1252 | Windows-1252, 1252 | Западно-европейская кодировка, применяемая в Windows. |
| KOI8-R | koi8-ru, koi8r | Русская кодировка. Поддерживается в версии 4.3.2. |
| BIG5 | 950 | Традиционный китайский, применяется в основном на Тайване. |
| GB2312 | 936 | Упрощенный китайский, стандартная национальная кодировка. |
| BIG5-HKSCS | Расширенная Big5, применяемая в Гонг-Конге. | |
| Shift_JIS | SJIS, 932 | Японская кодировка. |
| EUC-JP | EUCJP | Японская кодировка. |
Замечание: Не перечисленные выше кодировки не поддерживаются, и вместо них применяется ISO-8859-1.
Уроки по PHP: типы переменных, экранирование, спецсимволы и синтаксис heredoc в PHP
Рад снова приветствовать всех на страницах блога посвящённому всем тонкостям успешного создания и продвижения сайтов – Site on! В сегодняшнем уроке по PHP мы затронем такие темы как: типы переменных, экранирование, спецсимволы, а также синтаксис heredoc в PHP.
Типы переменных
PHP имеет восемь различных типов переменных, из них
2 специальных типа:
Прежде чем перейти к рассмотрению каждого из типов более подробно, стоит уточнить, что PHP НЕ строго типизированный язык, а язык с динамической типизацией. Это значит, что нам не нужно заранее (при создании) объявлять тип каждой переменной. PHP сам догадается, какой тип имеет та или иная переменная, исходя из того, что мы в эту переменную положим. Это также значит, что в отличие от языков со строгой типизаций мы можем в переменную с числом (integer) взять и положить строку (string) и это не будет ошибкой! Это одна из особенностей PHP, которая очень нравится людям (новичкам), ранее не имевшим дело с программированием. Как правило, в итоге все приходят к тому, что это минус языка, а не плюс.
Boolean (логический) – простейший тип. Может принимать всего 2 значения: true или false (верно или неверно), они регистра-независимы (можно писать TRUE, trUe и тд.). Наглядный пример:
Как видите, браузер не понимает булев тип, в отличие от PHP, поэтому при попытке вывести true или false он выведет на страницу число 1 или пустую строку.
При преобразовании в логический тип следующие значения рассматриваются как FALSE:
Все остальные значения рассматриваются как TRUE.
Идём далее: разница между integer и float, как вы уже могли догадаться – в точке 🙂 Смотрим пример:
Однако самым часто применяемым типом в PHP можно считать именно строки (string). Строки можно записывать либо в одинарных, либо в двойных кавычках, но записывать строки в двойных кавычках я никогда и никому не советую, так как тем самым вы заставляете интерпретатор PHP «парсить» вашу строку на наличие переменных в ней, чем хоть и незначительно, но замедляете работу. Даже если вы хотите использовать в вашей строке переменные – это можно сделать с помощью одинарных кавычек + конкатенации (склеивание двух и более строк в одну). Для чего тогда двойные кавычки вообще нужны? Например, когда мы хотим использовать спецсимволы (\n, \r и тд.), но о них немного позже.
Также стоит отметить, что использование одинарных кавычек + конкатенации делает код гораздо читабельней, чем если всё без разбора засовывать в двойные кавычки. Но хватит предисловий, сейчас вы сами всё увидите и поймёте:
Подробнее о конкатенации мы поговорим в следующей статье.
Далее мы рассмотрим такой тип переменных в PHP как NULL. Здесь всё очень просто, переменная считается NULL если:
Изучение оставшихся типов переменных на данном этапе было бы бессмысленным. С остальными типами мы столкнёмся и разберём их при более глубоком изучении PHP.
Экранирование в PHP
В первом варианте (с двойными кавычками) мы использовали экранирование спецсимвола доллара, благодаря чему данный спецсимвол перестал иметь своё специальное назначение (обозначение переменных) и превратился в обыкновенный знак доллара.
Во втором варианте (с одинарными кавычками) как вы уже знаете – PHP интерпретатор даже не пытался найти переменных в строке, а потому экранирование не потребовалось.
Далее про экранирование: в одинарных кавычках ничего и никогда экранировать не нужно, попросту нечего. От экранирования мы плавно переходим к уже упомянутым спецсимволам в PHP.
Спецсимволы в PHP
Специально для читателей блога Site on! я подготовил небольшой список специальных символов в языке программирования PHP:
Посмотрим на работу спецсимволов на примере \n – спецсимвол, который делает перевод на новую строку (как Энтер), однако браузеры не понимают (и не должны) его и игнорируют, но результат его работы можно посмотреть в исходном коде страницы:
Исходный код (Ctrl + U):
Если для посетителей в браузере спецсимвол \n никак не отображается, тогда в чём его смысл?
Во-первых, с помощью спецсимволов и \n в частности можно удобно форматировать код на странице (как в примере выше).
Во-вторых, \n можно использовать, например, при операциях записи в файл, чтобы сделать перенос (Энтер) и продолжить запись на новой строке.
Альтернативой такого форматирования является heredoc.
Синтаксис heredoc в PHP
Исходный код (Ctrl + U):
Результат говорит сам за себя, теперь давайте разберемся, как же всё устроено:
Опрос. Новый тег для HTML-экранирования данных в PHP
Некоторое время назад была статья про нововведения в PHP7. Я написал в комментариях, что раз уж добавлены разные новые операторы для упрощения кода в стандартных конструкциях, то неплохо было бы добавить еще и оператор для вывода HTML-экранированных данных. Получил в ответ несколько комментов про шаблонизаторы и задумался. Я знаю про шаблонизаторы, но есть много проектов, в которых они не используются, которые написаны на самописных движках, на CMS, либо на фреймворках, в которых нет шаблонизатора по умолчанию. Эти проекты продолжают развиваться и требуют писать код.
В этой статье я хочу изложить некоторые аргументы за то, что такой оператор будет полезен. И, возможно, получить обоснованные аргументы против.
Я пообщался с разработчиками в рассылке PHP Internals list и получил ответ, что это уже обсуждалось много раз.
Основной аргумент в том, что экранирование контекстно-зависимо. У нас есть разные контексты — HTML/URL/JS/CSS — и делать какой-то оператор только для одного контекста неправильно, а для всех сразу сложно.
На самом деле это немного не так. Это не взаимоисключающие контексты, HTML может присутствовать или нет независимо от остальных. Кроме того, для JS и CSS контекста нельзя применить понятие «экранирование» (escaping), потому что это другие языки со своим синтаксисом. Правильная запись для них не сводится к добавлению слэшей и замене спец-символов.
На первый взгляд может показаться, что тут везде нужно разное экранирование. Но это не так. Вызов htmlspecialchars() нужен во всех трех случаях.
Несмотря на то, что urlencode() возвращает безопасную для HTML строку, и можно не использовать htmlspecialchars(), сочетание htmlspecialchars() + urlencode() встречается в обработке различных фильтров.
Пункт 5 — отдельно в HTML-документе не встречается, только в составе других контекстов.
Пункт 6 — встречается довольно часто, это единственный практический случай, когда нам не надо применять html-экранирование. Но такая связка PHP+JS считается не очень хорошим стилем, лучше использовать data-атрибуты, особенно в мультиязычных приложениях. А для них нужен htmlspecialchars().
Пункт 7 — очень редкий случай, обычно PHP там не используется.
Пункт 8 — для этого случая безопасное экранирование принципиально невозможно придумать заранее.
Таким образом, для наиболее часто встречающихся на практике случаев экранировать HTML не надо только в одном случае, в остальных четырех экранирование необходимо. Следовательно, специальный оператор будет полезен, и многочисленные дискуссии тому подтверждение.
Внимание. Если вы пишете приложения, к примеру, только на Twig и Symfony, или последние N лет делаете только API, то большая просьба не голосовать, а то получится нерепрезентативная выборка. Для вас сделан третий опрос. В первых двух интересует мнение людей, которые реально с этим работают.
Аргументированные комментарии за и против приветствуются.