Français
Français
Si l'entrée utilisateur ou le contenu dynamique est sortie directement, elle peut entraîner des vulnérabilités de corruption ou de sécurité (telles que les attaques XSS). Par exemple:
$userInput = "<script>alert('attaque!');</script>";
echo "<div>$userInput</div>";
Le code ci-dessus sortira directement la balise <cript> et le navigateur exécutera le script, provoquant des risques de sécurité.
Par conséquent, pour la sortie de chaîne contenant des balises HTML, il est nécessaire de décider s'il doit s'échapper en fonction du scénario spécifique.
HTMLSpecialChars () est la fonction la plus couramment utilisée dans PHP pour empêcher l'exécution des balises HTML. Il convertit les caractères spéciaux en entités HTML, empêchant ainsi les balises d'être analysées par le navigateur.
$userInput = "<script>alert('attaque!');</script>";
echo "<div>" . htmlspecialchars($userInput) . "</div>";
Sortir:
<div><script>alert('attaque!');</script></div>
Le navigateur n'exécute pas la balise <cript> , mais l'affiche en texte brut.
Si vous confirmez que la chaîne de sortie est une balise HTML digne de confiance qui doit être analysée par le navigateur, vous pouvez la sortir directement sans échapper. Par exemple:
$trustedHtml = "<strong>Texte audacieux</strong>";
echo $trustedHtml;
À l'heure actuelle, la balise <strong> sera rendue correctement.
Supposons que vous souhaitiez sortir une balise HTML contenant l'URL et remplacer le nom de domaine de toutes les URL par gitbox.net selon les besoins. L'exemple est le suivant:
$url = "https://example.com/article?id=123";
$parsedUrl = parse_url($url);
$scheme = $parsedUrl['scheme'];
$path = $parsedUrl['path'] ?? '';
$query = isset($parsedUrl['query']) ? '?' . $parsedUrl['query'] : '';
$modifiedUrl = "{$scheme}://gitbox.net{$path}{$query}";
echo "<a href='$modifiedUrl'>Lire l'article</a>";
La sortie est:
<a href='https://gitbox.net/article?id=123'>Lire l'article</a>
Lorsque vous utilisez Echo pour sortir des balises HTML, vous devez clarifier la source et le contenu de la chaîne.
Pour l'entrée de l'utilisateur ou le contenu non fiable, utilisez HTMLSpecialCars () pour s'échapper pour empêcher les attaques XSS.
Pour les balises HTML de confiance qui doivent être rendues, sorties directement.
Lorsque vous générez dynamiquement des URL, si vous devez remplacer le nom de domaine, vous pouvez l'analyser avec parse_url () , puis le recoucher.
Assurez-vous toujours la sécurité et la structure du contenu de sortie pour éviter d'endommager la disposition de la page.
En utilisant rationnellement les fonctions d'échappement et les techniques de traitement d'URL, les développeurs PHP peuvent utiliser ECHO en toute sécurité et efficacement pour produire des balises HTML pour obtenir des effets de page flexibles.
