htmlspecialchars（）足够安全吗？

The user input is like this

$user_input = htmlspecialchars($_GET['$user_input']);

According to PHP.net:

'&' (ampersand) becomes '&amp;'
'"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set.
"'" (single quote) becomes '&#039;' (or &apos;) only when ENT_QUOTES is set.
'<' (less than) becomes '&lt;'
'>' (greater than) becomes '&gt;'

But what about $? For example the code is like this:

echo "Some cool text $user_input";

Now lets say user input is $secretCode so:$_GET['$user_input'] = "$secretCode"; Will the code then not echo the $secretCode?

Also what about this. Lets assume the code is like this:

$html = <<<EOF <head>.... EOF;

What if the input is $_GET['$user_input'] = "EOF;"; Won't this quit the string?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongshadu4498 2014-07-21 08:19
关注
You're assuming a level interpretation that doesn't exist. If you write string literals like this:

$foo = 'bar'; $baz = "Hello $foo";

Then yes, $foo will be interpolated into the string. That is because it is explicitly written as a string literal in PHP source code.

On the other hand:

$foo = 'bar'; $baz = $_GET['var'];

Under no circumstances whatsoever will anything be interpolated here. Nor here:

$foo = <<<EOL $_GET[var] EOL;

$_GET['var'] can contain whatever it wants to, it is of no concern. PHP does not recursively evaluate all values over and over to see if there may be something that can be interpolated. There is no security issue here.

To provoke any of this recursive behaviour, you'd have to explicitly construct PHP source code as a string and then explicitly evaluate it:

$code = <<<EOL $foo = 'bar'; echo "Hello $_GET[var]"; EOL; // $code is now, say: // $foo = 'bar'; // echo "Hello $foo"; eval($code);

Unless you do something like this (and please, never use eval), nothing will happen.

For embedding arbitrary text inside of HTML, htmlspecialchars is fine to escape characters which have a special meaning in HTML; yes, it's secure.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

htmlspecialchars（）足够安全吗？ php
2014-07-21 08:09

回答 3 已采纳 You're assuming a level interpretation that doesn't exist. If you write string literals like this:
你应该在isset（）和empty（）之前或之后使用htmlspecialchars（）吗？ php
2016-02-17 06:31

回答 2 已采纳 Well, think about it this way. Why do we use isset in the first place? The answer is to protect ou
Node.js等效于php中的htmlspecialchars mysql node.js php
2018-10-24 10:14

回答 1 已采纳 First of all, if you set your encoding correctly (on the html page and in the database or convert
php+安全过滤+函数,PHP安全过滤函数有哪些？
2021-05-05 02:14

ljyzyw的博客 PHP安全过滤函数有：1、stripslashes函数；2、htmlspecialchars函数；3、htmlentities函数；4、strip_tags函数；5、intval函数等等。现代互联网中，我们经常要从世界各地的用户中获得输入数据。但是，我们都知道...
PHP安全信息？ php
2012-02-13 13:16

回答 7 已采纳 Check this page : PHP Security Guide. Most attacks are documented. If after implementing these sec
php htmlspecialchars（）无效 php xml
2012-07-06 13:35

回答 1 已采纳 If you want to just to encode the link of the attribute, the you can use url_encode, url_decode
在插入MySQL之前使用htmlspecialchars（）是否合适？ mysql php sql
2014-01-06 20:58

回答 1 已采纳 As others have pointed out, #2 is the correct answer. Leave it "raw" until you need it, then esca
PHP 安全最佳实践
2022-08-01 17:09

allway2的博客虽然许多公司运行不同的赏金计划，以找出其应用程序中的安全漏洞和漏洞，从而奖励那些指出应用程序中严重漏洞的安全专家。本文涵盖基本的PHP安全问题，以帮助您了解如何保护您的PHP项目免受不同的恶意攻击。在CSRF...
PHP - htmlspecialchars [关闭] php
2012-11-25 21:29

回答 1 已采纳 When I run that, the output I get is: <a href='test'>Test</a> Either: Y
如何使用htmlspecialchars（）但在PHP中保持<a>标签和其他标签？ php xss
2018-01-14 16:23

回答 1 已采纳 Problem: use callback function without quotes for more info see http://php.net/manual/en/functio
如何将php变量传递给javascript？ javascript php
2018-04-28 03:58

回答 2 已采纳 Uh, found another issue. The js is in smart quotes, which won't work... "`" is invalid. use "'". A
PHP 安全：如何防止PHP中的XSS？
2024-04-24 05:00

新华的博客跨站点脚本（XSS）是一种严重的安全漏洞，允许恶意行为者将恶意脚本引入网站，使毫无戒心的访问者处于危险之中。使用 XSS，攻击者可以在受害者的 Web 浏览器中执行任意代码，可能导致敏感数据被盗、未经授权的访问...
php在公众号实现微信支付修改支付金额？ ajax javascript php 有问必答
2021-07-08 10:58

回答 4 已采纳问题蛮多的，大概改了下，看里面的代码注释，有帮助能点个采纳【右上角】吗，谢谢，有其他问题可以继续交流~ 你用到了jquery框架的代码，但是没见你导入jquery框架呢？ <?php hea
php安全规范,ThinkPHP安全规范指引
2021-03-24 01:51

weixin_39531992的博客 [danger]### 首先，没有绝对的安全，只要你有足够的安全意识才能尽可能的杜绝安全隐患。规范的使用框架，能让你尽量避免一些看起来比较幼稚的安全问题。本文描述的安全注意事项主要是指生产环境下面的安全策略，本地...
【CTF | 网络安全】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议】
2023-05-22 21:38

秋说的博客该题考察文件包含漏洞，涉及PHP伪协议data伪协议file伪协议及PHP内置函数等知识点，希望读者躬身实践。我是秋说，我们下次见。
多租户 php实现,php会话对于多租户系统是否足够安全
2021-04-12 22:49

weixin_39963287的博客我正在创建一个多租户系统(第一次).我有点担心这个系统,因为应用程序的所有用户详细信息都将保存在数据库的同一个表中.当用户登录时,我计划设置一个包含其...这足够安全吗？或者我应该为每个客户选择单独的数据库....
对php的sql注入,关于php：这对于SQL注入是否足够安全
2021-04-18 06:19

weixin_39817391的博客我刚刚阅读了有关SQL注入的信息，并在我正在阅读的博客中找到了此功能我想知道SQL注入是否安全..如果我将remove_mq($_POST)传递给它，是否可以在查询中使用$_POST["var"]而不出现问题？function remove_mq($array){...
AI生成的代码你敢用吗？
2021-07-20 11:03

视学算法的博客在这篇文章中，Copilot 测试受邀用户 0xabad1dea 在试用该代码合成工具后发现了一些值得关注的安全问题，并以此为基础写了一份简单的风险评估报告。 GitHub 真好，就算我因为 ICE 已经叨扰了他们好几百次，他们还是...
php常见的45个漏洞及解决方案
2024-03-06 10:14

极致人生-010的博客 php常见45个漏洞及解决方案
php面试题2024
2024-04-01 16:10

这货不是陈进坚的博客 php面试题汇总
没有解决我的问题, 去提问

悬赏问题

¥15 R语言Rstudio突然无法启动
¥15 关于#matlab#的问题：提取2个图像的变量作为另外一个图像像元的移动量，计算新的位置创建新的图像并提取第二个图像的变量到新的图像
¥15 改算法，照着压缩包里边，参考其他代码封装的格式写到main函数里
¥15 用windows做服务的同志有吗
¥60 求一个简单的网页(标签-安全|关键词-上传)
¥35 lstm时间序列共享单车预测，loss值优化，参数优化算法
¥15 Python中的request，如何使用ssr节点，通过代理requests网页。本人在泰国，需要用大陆ip才能玩网页游戏，合法合规。
¥100 为什么这个恒流源电路不能恒流？
¥15 有偿求跨组件数据流路径图
¥15 写一个方法checkPerson，入参实体类Person，出参布尔值

htmlspecialchars（）足够安全吗？

3条回答 默认 最新

悬赏问题

3条回答默认最新