PHP htmlspecialchars()

Giới thiệu về htmlspecialchars()

Trong PHP, hàm htmlspecialchars() được sử dụng để chuyển đổi các ký tự đặc biệt thành các thực thể HTML. Điều này rất hữu ích khi bạn muốn hiển thị nội dung người dùng nhập vào trên trang web mà không bị diễn giải như HTML. Chức năng này giúp ngăn chặn các cuộc tấn công XSS (Cross-Site Scripting).

Cú pháp

htmlspecialchars(string $string, int $flags = ENT_COMPAT, string|null $encoding = null, bool $double_encode = true): string

Tham số

  • $string: Chuỗi cần được chuyển đổi ký tự đặc biệt.
  • $flags: Các cờ để điều khiển hành vi của hàm (mặc định là ENT_COMPAT).
  • $encoding: Bộ mã hóa được sử dụng (mặc định là UTF-8).
  • $double_encode: Nếu được đặt là true, các thực thể HTML sẽ được mã hóa lại (mặc định là true).

Giá trị trả về

Hàm trả về một chuỗi đã được mã hóa. Ví dụ, các ký tự như &, ", ', <, > sẽ được chuyển đổi thành &, ", ', <, > tương ứng.

Ví dụ sử dụng

$user_input = '';
$safe_output = htmlspecialchars($user_input);
echo $safe_output; // Kết quả sẽ là: <script>alert("XSS Attack!");</script>

Kết luận

Hàm htmlspecialchars() là một công cụ quan trọng để bảo vệ các ứng dụng web khỏi các nguy cơ bảo mật. Luôn luôn sử dụng hàm này mỗi khi bạn xuất nội dung do người dùng nhập vào lên trang web.