當你從資料庫中抓出來的字串本身就含有雙引號或單引號,並想要將這個字串安全地用作 HTML 元素屬性的值時,你應該使用 htmlspecialchars() 函數來轉義字串。這樣可以確保字串中的特殊字符(如 <, >, &, ', ")被轉換成 HTML 實體,避免破壞 HTML 結構或導致跨站腳本(XSS)攻擊。
像是:
// 假設 $string 從資料庫中抓出,且包含特殊字符
$string = "這是一個 \"特別\" 的'字串'。";
// 轉義特殊 HTML 字符
$escapedString = htmlspecialchars($string, ENT_QUOTES, 'UTF-8');
// 在 HTML 屬性中安全使用轉義後的字串
echo "<div title='$escapedString'>內容</div>";在這個例子中,htmlspecialchars() 函數會將 $string 中的特殊 HTML 字串轉換成對應的 HTML 實體。參數 ENT_QUOTES 會告訴函式同時轉義雙引號和單引號,而 'UTF-8' 確保了正確的字串編碼處理。
這種方法不僅可以防止 HTML 結構被破壞,也增加了網頁的安全性,防止了潛在的 XSS 攻擊。在將任何用戶輸入或從外部來源(如資料庫)獲取的數據插入到 HTML 中時,始終使用 htmlspecialchars() 函式或類似的方法來轉義特殊字串是一個好習慣。
完整的用法可以參考官方文件。
![[CodeIgniter 4] URI 路由基礎](/assets/upload/1598766168885_0.jpg)
![[WordPress] 判斷是否是標籤頁或是分類頁](/assets/upload/1613481490813_0.png)
