Экранирование кавычек (htmlspecialchars)
Здравствуйте! Хочу задать заезженный вопрос касаемый экранирования спецсимволов. При добавлении в базу применяю функцию htmlspecialchars(). При выводе в
Текст текст «текст» , кавычки отображаются нормально, а вот в meta title Текст текст "текст" . Как сделать чтобы кавычки в TITLE отображались нормально и как грамотно реализовать данную задачу?Отслеживать
задан 20 мар 2014 в 23:43
308 1 1 золотой знак 5 5 серебряных знаков 20 20 бронзовых знаков
1 ответ 1
Сортировка: Сброс на вариант по умолчанию
htmlspecialchars() нужно выполнять не при добавлении в базу, а непосредственно при выводе на страницу (при подстановке в HTML-шаблон). При добавлении в базу данных нужно использовать функцию экранирования кавычек, которая перед кавычками добавляет обратный слэш («\»). Это может делать, например, mysqli_escape_string() . Экранирование кавычек при добавлении в БД нужно только для корректного сохранения, при сохранении бэкслэши уберутся и в базе будет храниться исходный вариант (без бэкслэшей). В базе данных желательно хранить текстовые значения в оригинальном виде. Если хранить их заранее обработанные htmlspecialchars() , то могут возникнуть трудности с поиском и выводом этих записей не в HTML (например, в JSON или в консоль). Поэтому при сохранении в базу текстовой строки (при подстановке её в SQL-запрос) используешь mysqli_escape_string() (на крайняк addslashes() ). При выводе в HTML оборачиваешь переменную с текстовым значением в htmlspecialchars() . Причём, в htmlspecialchars() надо оборачивать любые текстовые строки, которые не являются HTML-форматированными, вне зависимости берутся они из базы или нет.
Отслеживать
ответ дан 21 мар 2014 в 4:28
105 1 1 серебряный знак 9 9 бронзовых знаков
- php
- htmlspecialchars
-
Важное на Мете
Похожие
Подписаться на ленту
Лента вопроса
Для подписки на ленту скопируйте и вставьте эту ссылку в вашу программу для чтения RSS.
Дизайн сайта / логотип © 2024 Stack Exchange Inc; пользовательские материалы лицензированы в соответствии с CC BY-SA . rev 2024.1.3.2953
Нажимая «Принять все файлы cookie» вы соглашаетесь, что Stack Exchange может хранить файлы cookie на вашем устройстве и раскрывать информацию в соответствии с нашей Политикой в отношении файлов cookie.
Экранирование кавычек в php, javascript и sql
Здравствуйте, уважаемые читатели блога LifeExample, сегодня я бы хотел раскрыть тему экранирования кавычек в php, javascript и sql, рассказать что это такое и зачем нужно, а также привести несколько полезных примеров показывающих необходимость экранирования.
Что такое экранирование кавычек
Чтобы дать определение этому понятию, для начала приведу небольшой пример объявления строки.
Практически в любом языке программирования мы используем следующий принцип объявления строковой переменной:
var text = «Название моего блога компании — lifeexample » ;
Все, что содержится между кавычек — понимается интерпретатором как строка.
Если нам нужно передать в строковую переменную текст содержащий кавычки и мы попытаемся сделать это таким образом:
var text = «Название моего блога: » lifeexample. ru » » ;
то произойдет ошибка, поскольку вместо одной строки интерпретатор увидит две:
- «Название моего блога: «
- » «
а между ними неизвестный ему оператор – lifeexample.ru .
Чтобы такого не происходило необходимо экранировать кавычки. В javascript, например, это будет выглядеть таким образом:
var text = «Название моего блога: \» lifeexample.ru \» » ;
После данного практического примера можно дать определение понятию экранирования кавычек.
Экранирование кавычек – это действие, совершаемое над строковой переменной в ходе работы скрипта. Действие это позволяет использовать кавычки в строке. Частным но довольно распространенным способом экранирования является подстановка обратного слеша \ перед внутренними кавычками.
Php экранирование кавычек
В php экранировать кавычки можно несколькими способами, первый из них аналогичен рассматриваемому выше.
Например, мы имеем строку с авторской и прямой речью, которая содержит кавычки:
«Как же вы поживаете?» – спросила Екатерина Ивановна. «Ничего, живем понемножечку», – ответил Старцев (Чехов)
Чтобы вывести ее на страницу, в PHP следует делать одним из следующих способов.
Экранирование обратным слешем:
echo » \» Как же вы поживаете? \» – спросила Екатерина Ивановна. \» Ничего, живем понемножечку \» , – ответил Старцев (Чехов)» ;
Экранирование одинарными кавычками
echo ‘»Как же вы поживаете?» – спросила Екатерина Ивановна. «Ничего, живем понемножечку», – ответил Старцев (Чехов)’ ;
В случае, когда внутренних кавычек в строке много проще при объявлении строки использовать одинарные кавычки, а внутри нее двойные. Либо, наоборот, в зависимости от наличия в тексте тех или иных кавычек.
Зачем может понадобиться экранирование кавычек в PHP
Помимо разобранного примера с выводом строк, экранирование кавычек и других спец символов зачастую необходимо при работе с БД.
Чтобы не допустить, различного рода проблем при работе с базой данных, перед сохранением данных в таблицы можно использовать функцию addslashes
$str = «Is your name O’reilly?» ;
// выводит: Is your name O\’reilly?
echo addslashes ( $str ) ;
$item = «Zak’s and Derick’s Laptop» ;
$escaped_item = mysql_real_escape_string ( $item ) ; \\Escaped string : Zak\ ‘s and Derick\’s Laptop
?>
Обе эти функции являются стандартными в php и экранируют спецсимволы строк. Когда и какую использовать, зависит от конкретных задач. Например addslashes лучше использовать для сериализованной строки при записи ее в базу, а mysql_real_escape_string для всех пользовательских данных пришедших с формы на сайте.
В небольших web-приложениях, можно не использовать ручное экранирование addslashes или mysql_real_escape_string если включить «Магические кавычки» — magic_quotes_gpc
if ( ! get_magic_quotes_gpc ( ) ) {
ini_set ( ’magic_quotes_gpc’ , ‘on’ ) ;
}
Зачастую магические кавычки включены по умолчанию на сервере, это можно узнать из информацией полученной при выполнении функции
echo phpinfo ( ) ;
javascript экранирование кавычек
Очень часто, особенно в javascript приходится работать со строками, содержащими HTML разметку.
В javascript экранирование кавычек происходит аналогичным образом, либо обратным слешем, либо использованием разного типа кавычек.
Пример с обратным слешем:
var html = «
» ;
Пример с внутренними кавычками:
var html = ‘
‘ ;
Когда строка с HTML разметкой слишком длинная и требует переноса строки, снова появляется необходимость экранирования, в этом случае уже не кавычек, а символа переноса строки
var html = ‘
Блок с зеленым текстом \
‘ ;
Если в данном примере не использовать обратный слешь перед переносом строки, то скрипт работать не будет.
Довольно редко, но можно столкнуться с задачей передать HTML разметку в сериализованной строке формата JSON. Если строка содержит символы переноса, то формат JSON будет нарушен.
Чтобы избежать этих проблем нужно прогнать текст с переносом строк через функцию JSON.stringify()
text = JSON . stringify ( text ) ;
JSON.stringify() – доступна только после подключения библиотеки jquery.
Sql экранирование кавычек
В sql экранирование кавычек помимо разобранных нами в php и js способов — обратного слеша и внутренних кавычек, имеет еще одно решение.
SELECT «Is your name O»reilly?» ;
Для экранирования кавычки в sql нужно их дублировать.
вместо ‘ писать »
вместо » писать «»
Убрать экранирование кавычек
Убрать экранирование кавычек в php можно стандартной функцией stripslashes();
В javascript не существует аналога stripslashes, но ведь мы всегда можем воспользоваться регулярным выражением, которое поможет нам убрать экранирование кавычек в javascript
str. replace ( /\0/g , ‘0’ ) . replace ( /\\(.)/g , «$1» )
В данной статье я постарался раскрыть тему экранирования кавычек в php, js, mysql и показать в каких случаях необходимо применять экранирование. Надеюсь, статья оказалась полезной. Подписывайтесь на рассылку, ставьте лайки, добавляйтесь в друзья ��
Читайте также похожие статьи:
Чтобы не пропустить публикацию следующей статьи подписывайтесь на рассылку по E-mail или RSS ленту блога.
addcslashes
Возвращает строку, экранированную обратными слешами перед символами, указанными в параметре characters .
Список параметров
Список экранируемых символов. Если characters содержит символы \n , \r и т.п., они будут преобразованы в стиле C, тогда как другие нецифробуквенные символы с ASCII-кодами ниже 32 и выше 126 будут преобразованы в восьмеричное представление.
Следует быть внимательным при указании диапазона символов в аргументе characters . Проверяйте, какие символы входят в этот диапазон.
echo addcslashes ( ‘foo[ ]’ , ‘A..z’ );
// выводит: \f\o\o\[ \]
// Будут экранированы заглавные и строчные английские буквы
// . а также [\]^_`
?>
Также, если ASCII-код первого символа диапазона больше, чем последнего, диапазон не будет создан. Вместо этого будут экранироваться только первый символ, последний символ и точка. Для определения ASCII-кода символов используйте функцию ord() .
echo addcslashes ( «zoo[‘.’]» , ‘z..A’ );
// выводит: \zoo[‘\.’]
?>
Будьте внимательны при экранировании символов 0, a, b, f, n, r, t и v. Они будут преобразованы в \0, \a, \b, \f, \n, \r, \t и \v, которые являются предопределёнными escape-последовательностями в языке Си. Многие из этих последовательностей также определены в других Си-подобных языках, включая PHP. Это означает, что вы можете не получить ожидаемого результата, если будете использовать вывод функции addcslashes() для создания кода в этих языках с использованием этих символов в characters .
Возвращаемые значения
Возвращает экранированную строку.
Примеры
characters , например, «\0..\37», что проэкранирует все символы с ASCII-кодами от 0 до 31.
Пример #1 Пример использования addcslashes()
$escaped = addcslashes ( $not_escaped , «\0..\37!@\177..\377» );
?>
Смотрите также
- stripcslashes() — Удаляет экранирование символов, произведённое функцией addcslashes
- stripslashes() — Удаляет экранирование символов
- addslashes() — Экранирует строку с помощью слешей
- htmlspecialchars() — Преобразовывает специальные символы в HTML-сущности
- quotemeta() — Экранирует специальные символы
User Contributed Notes 6 notes
18 years ago
If you are using addcslashes() to encode text which is to later be decoded back to it’s original form, you MUST specify the backslash (\) character in charlist!
$originaltext = ‘This text does NOT contain \\n a new-line!’ ;
$encoded = addcslashes ( $originaltext , ‘\\’ );
$decoded = stripcslashes ( $encoded );
//$decoded now contains a copy of $originaltext with perfect integrity
echo $decoded ; //Display the sentence with it’s literal \n intact
?>
If the ‘\\’ was not specified in addcslashes(), any literal \n (or other C-style special character) sequences in $originaltext would pass through un-encoded, but then be decoded into control characters by stripcslashes() and the data would lose it’s integrity through the encode-decode transaction.
16 years ago
addcslashes() treats NUL as a string terminator:
unless you order it backslashified:
assert(«any\\000body» === addcslashes(«any\0body», «\0»));
(Uncertain whether this should be declared a bug or simply that addcslashes() is not binary-safe, whatever that means.)
21 years ago
I have found the following to be much more appropriate code example:
$escaped = addcslashes ( $not_escaped , «\0..\37!@\@\177..\377» );
?>
This will protect original, innocent backslashes from stripcslashes.
quotemeta
Возвращает модифицированную строку, в которой перед каждым символом из следующего списка:
вставлен обратный слеш ( \ ).
Список параметров
Возвращаемые значения
Возвращает экранированную строку или false , если в качестве параметра string была указана пустая строка.
Примеры
Пример #1 Пример использования quotemeta()
var_dump ( quotemeta ( ‘PHP is a popular scripting language. Fast, flexible, and pragmatic.’ ));
?>
Результат выполнения этого примера:
string(69) "PHP is a popular scripting language\. Fast, flexible, and pragmatic\."
Примечания
Замечание: Эта функция безопасна для обработки данных в двоичной форме.
Смотрите также
- addslashes() — Экранирует строку с помощью слешей
- addcslashes() — Экранирует строку слешами в стиле языка C
- htmlentities() — Преобразовывает все возможные символы в соответствующие HTML-сущности
- htmlspecialchars() — Преобразовывает специальные символы в HTML-сущности
- nl2br() — Вставляет HTML-код разрыва строки перед каждым переводом строки
- stripslashes() — Удаляет экранирование символов
- stripcslashes() — Удаляет экранирование символов, произведённое функцией addcslashes
- preg_quote() — Экранирует символы в регулярных выражениях
User Contributed Notes 3 notes
14 years ago
$str = «Hello world. (can you hear me?)» ;
echo quotemeta ( $str );
?>
The output of the code above will be:
Hello world\. \(can you hear me\?\)
17 years ago
Took me a while to realize this was NOT the command I wanted for escaping potentially harmful characters in a string that would be used as part of a system command. Instead, I needed either escapeshellarg() (http://www.php.net/manual/en/function.escapeshellarg.php) or escapeshellcmd() (http://www.php.net/manual/en/function.escapeshellcmd.php)
22 years ago
This function escapes characters that have special meaning in regular expressions. preg_quote() has similar functionality, but is more powerful since it escapes more characters (including one user-specified character).
- Copyright © 2001-2024 The PHP Group
- My PHP.net
- Contact
- Other PHP.net sites
- Privacy policy