Php urlencode xe5,PHP中的urlencode,htmlentities并不简单-程序员宅基地

技术标签: Php urlencode xe5  

最近看到一篇好文章,所以就对PHP的二个函数(urlencode 和 htmlentities)做个总结,很多事情看上去很简单,但是深入下去并不那么“简单”。

urlencode

很多文章说到 urlencode 函数的时候,都会提到 rawurlencode 函数,二者之间非常的相似,rawurlencode 函数遵循 RFC 3986 协议,urlencode 遵循 RFC 1866 协议。二者应用场景并不一样(不太清楚rawurlencode在何种场景下使用);urlencode 是将空格替换成“+”,rawurlencode 是将空格替换为“%20”。

二者在使用的时候,需要注意是按照何种编码进行转换的,一般是根据PHP文件编码进行转换,比如对于一个中文字符(中)。假如文件编码是 UTF-8 ,编码后得到的结果是%E4%B8%AD;假如文件编码是 GBK ,编码后得到的结果是%D6%D0。

大家有没有思考一个问题,urlencode 函数存在的意义? 在 URL 中输入的元素必须是 US-ASCII 的子集,假如包含其它字符,那就是不安全的,所以假如需要使用则必须转码,这样才是一个合格的 URL 。

那么什么样的字符是不安全的呢?下面描述下:

ASCII 控制字符,这些字符是不能打印的,既然不能打印,那么用户也不能输入,所以需要转码。

Non-ASCII,比如中文字符。

保留字符,这很重要。 URL 之所以能够被浏览器解析就在于某些字符(比如 :,/符号)具有特殊含义(具有特殊含义才需要保留啊)。那么假如用户要“取消”这些保留字符的含义,那么就必须转码。

不安全字符,这些字符应该可以称为“应用字符”,对应的就是 HTML 中的“实体字符”,典型的不安全字符包括“

平时我们拷贝一个含有中文的 URL 到浏览器的时候,浏览器会自动转码。做了个实验,对于 Chrome浏览器来说,页面编码不管是 UTF-8 还是 GBK , urlencode 都是使用 UTF-8 编码进行编码的,这间接也说明应该统一使用 UTF-8。

几个注意点:

(1)在 PHP 中,仅仅对于需要“编码”的字符进行编码,不然会有错误,比如:

$str = "中国";

$url = "http://blog.newyingyong.cn/" . urlencode($str);

//不要对整个URL进行编码,否则将URL中的保留字符也转码了,这样这就不是一个正确的URL

(2)在 WEB 开发中,建议对数据都进行 urlencode,这个编码与 WWW 表单 POST 数据的编码方式是一样的,同时与 application/x-www-form-urlencoded 的媒体类型编码方式一样。

(3)$_GET 和 $_REQUEST 会自动 urldecode,所以需要注意,尤其对于+字符来说,假如二次 urldecode,则会丢失该字符,因为系统进行二次解码,会将“+”符号变为空格符号。201704备注:$_POST 变量也会主动 urldecode。同时假如服务器端程序自己构建数据发送请求,需要确保进行 urlencode,举个例子仔细体会下:

$url = 'http://localhost/t.php?parama=' . urlencode('a+b c');

$url = 'http://localhost/t.php?a=a+b c'; //比较没有 urlencode 处理的区别

$data = array(

'paramb' => "a+b c",

);

$headers = array(

'Content-Type: application/x-www-form-urlencoded',

);

$options = array(

'http' => array(

'method' => 'POST',

//http_build_query 是 urlencode 的封装版,本质没有太大区别

'content' => http_build_query($data),

'header' => implode("\r\n", $headers),

)

);

$rs = stream_context_create($options) ;

echo file_get_contents($url, false, $rs);

htmlentities

这个函数的基本定义如下:在 HTML 中,某些字符具有特殊含义(称为应用字符),那么为了表达这些字符的本来含义,就必须使用该函数进行处理。

比如在 HTML 中 “”符号可以组合起来表达很多 HTML 元素(浏览器执行的时候就会看到效果),假如仅仅需要表示为“”符号,那么就要使用该函数将二者转换为,这些字符也叫“实体字符”。

和 htmlentities 函数比较类同的一个函数是 htmlspecialchars , 个人觉得手册中描述的很好:

Certain characters have special significance in HTML, and should be represented by HTML

entities if they are to preserve their meanings. This function returns a string with these conversions made

二者的区别在于:

htmlentities 是转换所有的字符为实体字符,而 htmlspecialchars 仅仅转换部分字符(包括 &、、"、')

htmlentities 仅仅能处理 native characterset ,一般是 ASCII。而 htmlspecialchars 能指定特定字符集进行转换(这个观点已经陈旧)

在开发中,一般发送的数据假如不是富文本模式,则建议使用 htmlspecialchars 函数进行处理避免出现 XSS 攻击。当然为了不破坏原始发送数据,入库的时候不做任何改变,在出库渲染的时候进行转义处理;假如发送的数据是富文本模式,则不应该转义了,这个处理方式可能就是另外的逻辑了。

在本文中为什么同时提到 urlencode 和 htmlentities呢,在 PHP 手册中提到这么下面一段代码,个人理解了好一会还是不得其法。

$query_string = 'foo=' . urlencode($foo) . '&bar=' . urlencode($bar);

echo '';

在 stackoverflow 找到这么一篇解疑,说的很好。

This is not about HTML entities in URLs. This is about you putting arbitrary data into HTML, which means you need to HTML escape any special characters in it. That this data happens to be a URL is irrelevant.

You need to escape any arbitrary data you put into the URL with urlencode to preserve characters with a special meaning in the URL.

The arbitrary blob of data you get from step one needs to be HTML escaped for the same reasons when put into HTML. As you see in your example, there's an & in your data which is required to be escaped to & by HTML rules.

If you did not use the URL in an HTML context, there'd be no need to HTML escape it. HTML entities have no place in a URL. A URL in an HTML context must be HTML escaped though, like any other data

这二个函数的转码用的场景是不一样的,urlencode 一般是对 URL 转码。而 htmlentities 是对 HTML 的元素进行转码,之所以有联系,是因为 HTML 中的“a”,"image"标签的值可能会是一个 URL。而在 URL 中实体字符也是能够被浏览器自动转换的,所以为避免错误,可以采用上面一段的代码。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_27010489/article/details/115592701

智能推荐

谷歌安装Selenium IDE插件_download selenium ide 3.17.2 crx file for chrome --程序员宅基地

文章浏览阅读1.1k次。本章节主要介绍在谷歌浏览器安装该插件。1. 国内下载地址:Download Selenium IDE 3.17.2 CRX File for Chrome - Crx4Chrome ,这个网络正常基本可以下载,目前最新版本是3.17.2。点击Crx4Chrome下载。下载后的文件名称是:mooikfkahbdckldjjndioackbalphokd-3.17.2-Crx4Chrome.com.crx。2. 安装运行插件本次安装的谷歌浏览器版本是:98.0.4758.102(正式版本.._download selenium ide 3.17.2 crx file for chrome - crx4chrome

【matplotlib绘图】分析黑五超市交易额的影响因素_影响交易额的因素-程序员宅基地

文章浏览阅读328次。在python中用matplotlib绘图分析黑五超市交易额的影响因素_影响交易额的因素

CTF-伟大宝宝的保障-WP_bmz伟大宝宝的宝藏-程序员宅基地

文章浏览阅读399次。CTF-伟大宝宝的保障-WP题目来自BMZCTF,打开题目是hybbs2.3.2的,直接百度搜索相关漏洞即可利用漏洞:1.越权遍历给admin发私信,得到密码baobao(后9位需爆破)2.修改全局配置-上传后缀加php(这个方法已经失效,题目被改过)3.利用插件插入php代码解题过程首先越权给admin发送私信,其实这里算是遍历admin的uid为1,尝试发送得到一个密码反馈进行爆破得到admin密码为baobao123456789,进入后台插件新增插入恶意代码:111','_bmz伟大宝宝的宝藏

Eclipse RCP插件开发【1.插件介绍】_eclipse rcp中使用其他插件-程序员宅基地

文章浏览阅读971次,点赞18次,收藏19次。扩展点是 Eclipse RCP(Rich Client Platform)中用于定义产品的扩展点。产品定义了一个独立的、可分发的 Eclipse 应用程序。通过定义产品,你可以配置应用程序的名称、图标、启动特性、插件等属性。以下是扩展点中这些属性和元素定义了 Eclipse RCP 产品的一些关键特征,包括产品的标识、名称、启动应用程序、描述、图标、版本等。通过定义产品,你可以配置和分发独立的 Eclipse 应用程序。_eclipse rcp中使用其他插件

linux--mysql(读写分离mysql-proxy)_linux mysql-proxy读写分离,mysql-proxy从master读取数据-程序员宅基地

文章浏览阅读251次。在gtid主从复制的基础上做读写分离下载:http://dev.mysql.com/downloads/mysql-proxy/首先保证server1和server2的gtid主从复制读写分离(MySQL- Proxy)是指让master处理写操作,让slave处理读操作,非常适用于读操作量比较大的场景,可减轻master的压力使用mysql-proxy实现mysql的读写分离,mys..._linux mysql-proxy读写分离,mysql-proxy从master读取数据

基于Spring boot+Mybatis+Angular+Maven+MySQL的基础开发平台_csdn332557712-程序员宅基地

文章浏览阅读1.3k次。前言:在大多数管理系统以及产品中,我们需要基础平台,在这平台之上,我们将业务添加,就形成了具体的业务系统,开发这样一个平台需要一定的时间与成本,本人基于多年的工作经验开发了一套基于Angular+NG-Zorro+Spring boot+MySQL+Maven基础平台,适合各种公司、接单以及个人学习,它具有跨平台、前端后分离、数据权限、按钮权限、访问权限、用户权限等功能特点,具体技..._csdn332557712

随便推点

auto-extending data file /ibdata1 is of a different size 17152 pages (rounded down to MB)_you need to use --log-bin to make --log-replica-up-程序员宅基地

文章浏览阅读1.6k次。问题描述:由于某一个mysql库经常性导致库崩溃,现在需要把该库迁移到另外一个库中,通过xtrabackup备份恢复,当恢复后无法正常启动mysql,查看日志提示如下内容:2018-09-05 10:01:29 20972 [Warning] You need to use --log-bin to make --binlog-format work.2018-09-05 10:01:29 ..._you need to use --log-bin to make --log-replica-updates work.

服务熔断之Google SRE弹性熔断算法_google sre 熔断器-程序员宅基地

文章浏览阅读1.5k次。一、熔断介绍在分布式系统中,一次完整的请求可能需要经过多个服务模块的调用,请求在多个服务中传递,服务对服务的调用会产生新的请求,这些请求共同组成了这次请求的调用链。当调用链中的某个环节,特别是下游服务不可用时,将会导致上游服务调用方不可用,最终将这种不可用的影响扩大到整个系统,导致整个分布式的不可用,引起服务雪崩现象。为了避免这种情况,在下游服务不可用时,保护上游服务的可用性显得极其重要。对此我们可以通过熔断的方式,通过及时熔断服务调用方和服务提供方的调用链,保护服务调用方资源,防止服务雪崩现象的出_google sre 熔断器

Ntrip协议相关(客户端软件或代码)_ntripdemo-程序员宅基地

文章浏览阅读8.9k次,点赞2次,收藏10次。NTRIPNetworked Transport of RTCM via Internet Protocolhttp://hi.baidu.com/study_then/blog/item/a510514ae796d12409f7ef09.htmlNtrip software which is part of an Ntrip Example Implementation is_ntripdemo

Android Studio无法预览xml布局之解决方法(两种)_当 android studio 中的 xml 预览功能无法正常工作时,可以尝试以下几种解决方法:-程序员宅基地

文章浏览阅读1.3w次。学习安卓程序开发,用的Android Studio,发现怎么更改xml代码都没有想要的效果。如图代码如下:<?xml version="1.0" encoding="utf-8"?><LinearLayout ="http://schemas.android.com/apk/res/android" xmlns:app="http..._当 android studio 中的 xml 预览功能无法正常工作时,可以尝试以下几种解决方法:

【深度好文】Python图像处理二值图像投影量的计算和应用_二值化 投影 并显示-程序员宅基地

文章浏览阅读2.3k次,点赞4次,收藏17次。1 引言投影法是沿着图像某个方向截面的灰度值累加计算量的集合,本文重点介绍二值图像水平垂直方向投影量的计算。2 水平投影2.1 计算步骤水平投影的一般计算步骤如下:1)将图像二值化,使物体为黑色,背景为白色2)遍历各行,依次判断每一列的像素值是否为黑色,统计该行所有黑色像素的个数,设该行共有M个黑色像素,则把该行从第一列到第M列置为黑色3)显示图像2.2 代码实现根据上述步骤,编写水平投影python代码如下所示:def get_horizon_project(img): h, _二值化 投影 并显示

Git回退代码到某次commit_git commit 回退-程序员宅基地

文章浏览阅读10w+次,点赞20次,收藏67次。前言工作中,Git的使用越来越频繁。。除了最常用的clone,add,commit,push,pull等命令;还有回退命令reset。这一篇博客就记录一下该回退命令的简单使用。场景因为公司开发过程中,处理订单,限时购买等业务时,都是用的阿里云的消息队列MQ实现的。或者是两个系统之间的交互,同步信息,如用户在支付系统A下了一个订单(支付成功),这个时候支付系统A除了处理订单,还有向库存系..._git commit 回退

推荐文章

热门文章

相关标签