11.8 Steuerzeichen in Benutzerdaten durch Escape-Sequenzen ersetzen

Problem

Sie möchten Daten, die von Benutzern eingegeben worden sind, auf einer HTML-Seite sicher ausgeben, um z.B. Cross-Site Scripting (XSS) Angriffen vorzubeugen.

Lösung

Für HTML-Code, den Sie als einfachen Text ausgeben möchten und der Links und andere Tags enthält, verwenden Sie htmlentities():

echo htmlentities('<p>O'Reilly & Associates</p>');
&lt;p&gt;O'Reilly & Associates&lt;/p&gt;

Diskussion

PHP verfügt über einige Funktionen, mit denen Sie Zeichen durch HTML-Entities ersetzen können. Die elementarste von ihnen ist htmlspecialchars(), die folgende vier Zeichen ersetzt: < > " und &. Abhängig von optionalen Parametern kann sie auch ‘ anstelle von oder zusätzlich zu " übersetzen. ...

Get PHP 5 Kochbuch, Third Edition now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.