HTML Purifier选择性地吃特殊字符

Using PHP against a UTF-8 compliant database. Here's how input goes in.

user types input into textarea
textarea encoded with javascript escape()
passed via HTTP post
decoded with PHP rawurldecode()
passed through HTMLPurifier with default settings
escaped for MySQL and stored in database

And it comes out in the usual way and I run unescape() on page load. This is to allow people to, say, copy and paste directly from a word document and have the smart quotes show up.

But HTMLPurifier seems to be clobbering non-UTF-8 special characters, ones that escape() to a simple % expression, like Ö, which escapes to %D6, whereas smartquotes escape to %u2024 or something and go into the database that way. It takes out both the special character and the one immediately following.

I need to change something in this process. Perhaps I need to change multiple things.

What can I do to not get special characters clobbered?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dsa456369 2009-05-14 17:53
关注
textarea encoded with javascript escape()

escape isn't safe for non-ascii. Use escapeURIComponent

passed via HTTP post

I assume that you use XmlHttpRequest? If not, make sure that the page containing the form is served as utf-8.

decoded with PHP rawurldecode()

If you access the value through $_POST, you should not decode it, since that has already been done. Doing so will mess up data.

escaped for MySQL and stored in database

Make sure you don't have magic quotes turned on. Make sure that the database stores tables as utf-8 (The encoding and the collation must be both utf-8). Make sure that the connection between php and MySql is utf-8 (Use set names utf8, if you don't use PDO).

Finally, make sure that the page is served as utf-8 when you output the string again.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

HTML Purifier选择性地吃特殊字符 javascript php
2009-05-14 17:26

回答 1 已采纳 textarea encoded with javascript escape() escape isn't safe for non-ascii. Use escapeUR
在仅具有纯文本输入的站点上使用HTML Purifier php xss
2016-06-04 13:26

回答 1 已采纳 As a general rule, escaping should be done for context and for use-case. If what you want to do i
HTML Purifier - 如何知道是否找到了XSS注入？ php xss
2015-08-06 13:48

回答 1 已采纳 Nope, HTML Purifier doesn't support this use-case.
thinkphp等框架开发中容易忽略的xss攻击及应对XSS攻击方法
2020-08-17 11:06

ganggang4321的博客使用str_ireplace()函数进行不区分大小写地过滤script关键字作为一名优秀的开发，发现了问题当然要及时改正，不区分大小写不就行了嘛。后端代码修正如下： $nickname = str_ireplace("script", "", @$_POST['...
在HTML Purifier中禁用URI验证 php
2013-07-16 17:25

回答 1 已采纳 You can do it by patching the source, replacing AttrDef_URI with a stub that does nothing. But thi
PHP：如何使用HTML Purifier使用nl2br（）来保持换行符？ html php
2013-07-15 02:47

回答 2 已采纳 This issue can be solved partially (if not completely) with a custom nl2br() function: function n
如何使用HTML Purifier允许Youtube视频 mysql php
2010-03-31 08:11

回答 1 已采纳 You could read their documentation...
懂这些，你将能构建更安全的Web应用
2018-07-14 18:59

weixin_33859844的博客安全的编码函数 HtmlEncode （将特殊字符转换为实体字符）只需一种编码吗浏览器解析 htmlparser 优先于 JavaScript Parser 对于处理富文本开发：我们应该让事件被严格禁止，不包含iframe、script、base、...
截断时出现HTML错误？ html php
2011-08-23 10:34

回答 2 已采纳 Don't truncate the $html but rather the real text where it's appropriate. To get hold of the text,
带有html5 doctype的htmlpurifier php
2010-12-30 21:10

回答 6 已采纳 No, HTML Purifier does not currently support HTML 5.
在php中提交后保留选择框数据 php
2018-05-29 22:01

回答 2 已采纳 This looks much better. $html=''; $sessions=''; if (isset($_SESSION['classes']) && !empty($_SESSI
php实践
2016-10-21 11:56

weixin_33753845的博客为什么80%的码农都做不了架构师？>>> ... 每个版本都有自己独有的特性、多余和怪异之处，也很难跟踪... 当 PHP 解析器安全地吃进跟在关闭标签之后的单个换行符时，任何其他的换行都可能被输出到浏览器，如果...
在某些特殊情况下不会插入数据？ database mysql php
2015-01-15 08:26

回答 1 已采纳 You just need to put this at time of insertion. $title = addslashes($_POST['title']); $content =
一份简短的关于 PHP 容易混淆知识点的实用指南
2016-04-12 11:58

知~仁~勇的博客 $hashedPassword 是一个长度为 60 个字符的字符串. $hashedPassword = $hasher -> HashPassword ( 'my super cool password' ); // 你现在可以安全地将 $hashedPassword 保存到数据库中! // 通过比较...
PHP 最佳实践
2015-08-27 17:16

dazhi_100的博客当 PHP 解析器安全地吃进跟在关闭标签之后的单个换行符时，任何其他的换行都可能被输出到浏览器，如果之后要输出某些 HTTP 头，那么可能会造成混淆。编写Web应用时，确保在关闭 ?> 标签与 html 的 <!doctype> 标签...
PHP之道 - php各方面的知识汇总
2018-05-18 01:01

weixin_30341745的博客本网站也不会告诉您应该使用什么样的工具，而是提供多种选择的建议，并尽可能地说明方法及用法上的差异。当有更多有用的资讯以及范例时，此文件会随着相关技术的发展而持续更新。其他翻译 ...
awesome php
2018-03-13 06:31

weixin_34209406的博客 awesome-php ... 以便在工作中迅速的查找所需... ...一个前端组件的列表 awesome-frontend 推荐学习资源 PHP相关的有参考价值的社区,博客,网站,文章,书籍,视频等资源 PHP网站(PHP Websites) PHP...
PHP 之道
2017-02-16 11:36

simonGeek的博客本网站也不会告诉您应该使用什么样的工具，而是提供多种选择的建议，并尽可能地说明方法及用法上的差异。当有更多有用的资讯以及范例时，此文件会随着相关技术的发展而持续更新。翻译 PHP 之道 ...
php之道
2016-05-29 22:43

weixin_34034261的博客本网站也不会告诉您应该使用什么样的工具，而是提供多种选择的建议，并尽可能地说明方法及用法上的差异。当有更多有用的资讯以及范例时，此文件会随着相关技术的发展而持续更新。翻译 PHP 之道已经翻译成...
架构师知识体系(5)--建立自己的知识体系吧
2017-01-09 10:30

SZleoWang的博客我们选择的标准是什么？我们好像懂得了很多东西，但是别人一问，我们却讲不出来…… 我们的职场核心竞争力真的有么？我们怎么建立起来？身处的行业或者公司即使最大，也随时可能倒闭，如果组织靠...
没有解决我的问题, 去提问

悬赏问题

¥15 merge函数占用内存过大
¥15 Revit2020下载问题
¥15 使用EMD去噪处理RML2016数据集时候的原理
¥15 神经网络预测均方误差很小但是图像上看着差别太大
¥15 单片机无法进入HAL_TIM_PWM_PulseFinishedCallback回调函数
¥15 Oracle中如何从clob类型截取特定字符串后面的字符
¥15 想通过pywinauto自动电机应用程序按钮，但是找不到应用程序按钮信息
¥15 如何在炒股软件中，爬到我想看的日k线
¥15 seatunnel 怎么配置Elasticsearch
¥15 PSCAD安装问题 ERROR: Visual Studio 2013, 2015, 2017 or 2019 is not found in the system.

HTML Purifier选择性地吃特殊字符

1条回答 默认 最新

悬赏问题

1条回答默认最新