問題タブ [htmlspecialchars]

私はプログラミングに不慣れで、htmlspecialcharsを以下のスクリプトに適用しようとしていますが、すべての試みでエラーメッセージが表示されます。私はそれが次のようなものであるべきだと信じています：echo htmlspecialchars（$ lines）ですが、これが以下のコードにどのように適用されるか、または私が何か他のものを使用する必要があるかどうかはわかりません。

最終結果は、次の.txtファイルのテキストを変換する必要があります。アンナは、「ハンナの家には行かない」と述べました。

to：アンナは「ハンナの家には行かない」と言った。

ユーザー入力にPDOを使用していますが、現在、MySQLデータベースのコンテンツを表示するときにPDOを使用していません（SQLコマンドを使用した昔ながらの方法です）。

MySQLデータベースにデータを挿入するときに、ユーザーからの入力をフィルタリング/サニタイズする必要がありますか？

そして、代わりに出力をサニタイズする方法がある場合、出力をサニタイズするための最良の方法は何ですか？使用するだけの場合、または使用htmlspecialchars()する必要がある場合など、私は行っstrip_tags()てもいいですか？

プレースホルダーとプリペアドステートメントを使用しています。

ありがとうございました。

サイト内にアイテムを保存できる管理セクションがあります。それらが保存されると、フロントエンドに表示されます。私の表示の一部には、次のようなコードが含まれます。

低レベルで xss から保護するために、これに htmlspecialchars を含める必要がありますか?

こんにちは、現在テーブルを使用してカスタム メタ フィールドに値を入力しています。エピソードのタイトルというテキスト ボックスがあります。ここでの問題は、文字 ' " がフィールドに追加されると、すべてが混乱することです。htmlspecialchars を使用して、値を ' " ではなく " および ' として入力したいと考えています。以下のコードは、文字を変換するために機能しません。誰でも助けてもらえますか？

"html コンテンツで構成される文字列を html ファイルに出力していますが、html ファイルでは html 特殊文字がエンコードされています (たとえば\")。書き込み関数を使用する前に、htmlspecialcharacters_decode も使用しました。奇妙な部分は、私のコンピューターでは文字がエンコードされていないのに対し、サーバーにアップロードされたものはエンコードされていることです。どうすればこの問題に対処できますか?

予想通りありがとう！

htmlspecialchars（）は、次のような特殊文字を変換しているようです： āķūņūķīそれぞれのエンティティ番号に：

＆＃257; ＆＃311; ＆＃363; ＆＃326; ＆＃363; ＆＃311; ＆＃299;

次のように、翻訳されていないものもあります。

žš

これらのアルファベットタイプの文字を翻訳しないようにしたいhtmlspecialchars()（または他の関数） ...（ php.netのマニュアルに示されているように）次の文字のみを翻訳するようにします。

1. ' ＆ '（アンパサンド）は'＆amp;'になります
2. ' " '（二重引用符）は'＆quot;'になります ENT_NOQUOTESが設定されていない場合。
3. " ' "（一重引用符）は'＆＃039;'になります ENT_QUOTESが設定されている場合のみ。
4. ' < '（未満）は'＆lt;'になります
5. ' > '（より大きい）は'＆gt;'になります

これが必要な理由は、POSTリクエストの後、このユーザー入力を実行してhtmlspecialchars()から、新しいHTML入力のセットに戻すためです。＆、 "、'、<、>などの文字は、表示エラーなどが発生しないように変換する必要があります。ただし、' āķūņūķī 'などの特殊文字は変更しないでください。そうしないと、ユーザーは非常に混乱します。

自分のサイトにユーザーコメントを表示したいのですが、html_escape（Codeigniterのhtmlspecialchars）を使用して出力をエスケープしています。しかし、Codeigniterのauto_link関数を使用してコメント内のURLをアクティブ化することも必要です。

両方の関数を同じ変数/コンテンツに適用するにはどうすればよいですか？

ユーザーコンテンツを信頼していないため、html_escapeを使用する必要があります。ただし、可能であれば、入力したURLを表示したいと思います。注：html_escapeとauto_linkの文字の間に競合はありません。

本当に簡単な問題であなたの助けが必要です。私のウェブサイトのいくつかのページのコンテンツは MySQL データベースに保存されて おり、ブラウザに出力するときにhtmlspecialchars()を適用しましたが、実際には<img src="images/me.jpg">有効であるはずのプレーン テキストとしてレンダリングされる正当なものがあります。画像は記事内容の一部です。

画像を正常に表示し、同時に XSS 攻撃の可能性などを回避するにはどうすればよいですか。

ありがとう

タイトルはちょっとそれをすべて言います。画面にエコー/印刷するすべてのものにnl2br（htmlspecialchars（$ text））を使用する必要がありますか？

私は周りを見回してきましたが、ユーザーからの入力を処理するときは、それをエスケープしてデータベースに挿入することでサニタイズするという言葉のようです。次に、データベースから取得するときに、画面に吐き出す場合は、htmlspecialchars（）を使用して、わかりにくい文字を安全な文字に変換し、改行を改行に変換する場合は、その周りにnl2br（）を使用する必要がありますか？

echo nl2br(htmlspecialchars($text))通常のecho/printステートメントの代わりに、ユーザーから取得した可能性のあるものを出力する必要がある可能性があるすべての場所でそれを使用するsafeEch​​o（）という新しい関数を作成する必要がありますか？