htmlspecialchars 是一個 PHP 函數,用于將特殊字符轉換為 HTML 實體。這樣做的目的是確保在輸出內容時,這些特殊字符不會被瀏覽器錯誤地解析為 HTML 標簽或腳本。
要在輸出時應用 htmlspecialchars,你可以使用 echo 或 print 語句,并將 htmlspecialchars 作為第一個參數傳遞。下面是一個示例:
<?php
$text = "<script>alert('XSS Attack!');</script>";
echo htmlspecialchars($text, ENT_QUOTES, 'UTF-8');
?>
在這個例子中,我們首先定義了一個包含惡意腳本的字符串 $text。然后,我們使用 echo 語句輸出這個字符串,并將 htmlspecialchars 函數作為第一個參數傳遞。ENT_QUOTES 參數表示我們希望使用雙引號(")而不是單引號(')來包圍屬性值。UTF-8 是字符編碼,你可以根據需要更改為其他編碼。
當你運行這段代碼時,瀏覽器會正確地將 <script> 標簽和其中的腳本視為純文本,而不是執行它們。因此,輸出的結果將是:
<script>alert('XSS Attack!');</script>
這樣,你就可以確保在輸出時對特殊字符進行適當的轉義,從而提高網站的安全性。
