PHP htmlspecialchars()
Giới thiệu về htmlspecialchars()
Trong PHP, hàm htmlspecialchars()
được sử dụng để chuyển đổi các ký tự đặc biệt thành các thực thể HTML. Điều này rất hữu ích khi bạn muốn hiển thị nội dung người dùng nhập vào trên trang web mà không bị diễn giải như HTML. Chức năng này giúp ngăn chặn các cuộc tấn công XSS (Cross-Site Scripting).
Cú pháp
htmlspecialchars(string $string, int $flags = ENT_COMPAT, string|null $encoding = null, bool $double_encode = true): string
Tham số
$string
: Chuỗi cần được chuyển đổi ký tự đặc biệt.$flags
: Các cờ để điều khiển hành vi của hàm (mặc định làENT_COMPAT
).$encoding
: Bộ mã hóa được sử dụng (mặc định làUTF-8
).$double_encode
: Nếu được đặt làtrue
, các thực thể HTML sẽ được mã hóa lại (mặc định làtrue
).
Giá trị trả về
Hàm trả về một chuỗi đã được mã hóa. Ví dụ, các ký tự như &
, "
, '
, <
, >
sẽ được chuyển đổi thành &
, "
, '
, <
, >
tương ứng.
Ví dụ sử dụng
$user_input = ''; $safe_output = htmlspecialchars($user_input); echo $safe_output; // Kết quả sẽ là: <script>alert("XSS Attack!");</script>
Kết luận
Hàm htmlspecialchars()
là một công cụ quan trọng để bảo vệ các ứng dụng web khỏi các nguy cơ bảo mật. Luôn luôn sử dụng hàm này mỗi khi bạn xuất nội dung do người dùng nhập vào lên trang web.