Hàm htmlspecialchars() PHP sử dụng như thế nào ?

Posted by Lập Trình Viên PHP 8 phút đọc

Hàm htmlspecialchars() PHP là một hàm rất hữu dụng, nó cho phép chuyển đổi các ký tự đặc biệt thành các thực thể HTML tương ứng. Bài viết này sẽ cung cấp một cái nhìn tổng quan về hàm htmlspecialchars() bao gồm cách sử dụng, các ví dụ minh họa và so sánh với hàm htmlentities() PHP.

Lập Trình Viên mời bạn cùng tham khảo chi tiết nội dung bên dưới. Bài viết này nằm trong chuyên đề hướng dẫn PHP từ cơ bản đến nâng cao tại dự án Phát Triển Website.

Tổng quan về hàm htmlspecialchars() PHP

Hàm htmlspecialchars() PHP dùng để chuyển đổi một số ký tự đặc biệt thành các thực thể HTML tương ứng. Các ký tự đặc biệt này bao gồm:

  • Dấu ngoặc kép: “
  • Dấu nháy đơn: ‘
  • Ký tự nhỏ hơn: <
  • Ký tự lớn hơn: >
  • Dấu và: &

Việc chuyển đổi các ký tự đặc biệt này sẽ giúp tránh xung đột với cú pháp HTML khi hiển thị chúng trên trình duyệt web.

Hàm htmlspecialchars() PHP có cú pháp đơn giản như sau:

string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = true ]]] )

Trong đó:

  • $string: Chuỗi cần chuyển đổi
  • $flags: Các cờ xác định cách xử lý các ký tự không hợp lệ
  • $encoding: Bảng mã ký tự sử dụng để chuyển đổi
  • $double_encode: Cho phép mã hóa lại các thực thể HTML đã tồn tại

Hàm htmlspecialchars() PHP là gì?

Như đã nói ở trên, hàm htmlspecialchars() dùng để chuyển đổi một số ký tự đặc biệt thành các thực thể HTML tương ứng.

Cụ thể, hàm này sẽ thực hiện việc chuyển đổi các ký tự sau:

  • Ký tự & thành &
  • Ký tự " thành "
  • Ký tự ' thành &039; hoặc '
  • Ký tự < thành <
  • Ký tự > thành >

Nhờ đó, nội dung được hiển thị trên trình duyệt sẽ không bị ảnh hưởng bởi các ký tự đặc biệt này.

Ví dụ, nếu có đoạn text như sau:

Tôi nói "Xin chào các bạn"

Khi đưa qua hàm htmlspecialchars() sẽ thành:

Tôi nói "Xin chào các bạn"

Như vậy sẽ tránh việc dấu ngoặc kép bị hiểu nhầm làm đóng mở thẻ HTML.

Hướng dẫn sử dụng hàm htmlspecialchars() PHP

Để sử dụng hàm htmlspecialchars() PHP, bạn chỉ cần truyền chuỗi cần chuyển đổi vào tham số $string. Các tham số khác là tùy chọn, mặc định sẽ sử dụng giá trị mặc định.

Ví dụ:

$text = "Tôi nói \"Xin chào các bạn\"";

echo htmlspecialchars($text);

Kết quả:

Tôi nói "Xin chào các bạn"

Các ký tự đặc biệt đã được chuyển thành thực thể HTML an toàn.

Để chỉ định cờ xử lý, bạn truyền giá trị tương ứng vào tham số $flags. Ví dụ:

echo htmlspecialchars($text, ENT_QUOTES);

Ở trên chỉ chuyển đổi dấu nháy kép và đơn, không chuyển các ký tự khác.

Để xác định bảng mã, truyền giá trị vào $encoding. Mặc định sẽ sử dụng UTF-8 trên PHP 7 trở lên.

Cách triển khai hàm htmlspecialchars() PHP

Hàm htmlspecialchars() PHP được sử dụng để chuyển đổi các ký tự đặc biệt trong một chuỗi thành các ký tự HTML. Điều này giúp ngăn chặn các cuộc tấn công XSS (cross-site scripting), trong đó kẻ tấn công có thể chèn mã độc vào một trang web.

Hàm htmlspecialchars() có hai tham số bắt buộc:

  • $str là chuỗi cần chuyển đổi.
  • $flags là một hằng số chỉ định các ký tự cần chuyển đổi. Các giá trị có thể là:
    • ENT_COMPAT: Chuyển đổi tất cả các dấu ngoặc kép kép.
    • ENT_QUOTES: Chuyển đổi cả dấu ngoặc kép kép và dấu ngoặc kép đơn.
    • ENT_NOQUOTES: Không chuyển đổi bất kỳ dấu ngoặc kép nào.

Ví dụ:

$str = "<a href='test'>Test</a>";
$newstr = htmlspecialchars($str);
echo $newstr;

Kết quả:

&lt;a href=&quot;test&quot;&gt;Test&lt;/a&gt;

Trong ví dụ này, hàm htmlspecialchars() đã chuyển đổi tất cả các dấu ngoặc kép kép và dấu ngoặc kép đơn thành các ký tự HTML tương ứng.

Dưới đây là một số ví dụ khác về cách sử dụng hàm htmlspecialchars():

// Chuyển đổi tất cả các ký tự đặc biệt thành các ký tự HTML
$str = "This is a test string.";
$newstr = htmlspecialchars($str);
echo $newstr;

Kết quả:

This is a test string.
// Chuyển đổi tất cả các dấu ngoặc kép thành các ký tự HTML
$str = "This is a 'test' string.";
$newstr = htmlspecialchars($str, ENT_QUOTES);
echo $newstr;

Kết quả:

This is a &apos;test&apos; string.
// Không chuyển đổi bất kỳ dấu ngoặc kép nào
$str = "This is a 'test' string.";
$newstr = htmlspecialchars($str, ENT_NOQUOTES);
echo $newstr;

Kết quả:

This is a 'test' string.

Hàm htmlspecialchars() là một công cụ quan trọng để bảo vệ trang web của bạn khỏi các cuộc tấn công XSS. Nên sử dụng hàm này để chuyển đổi tất cả các ký tự đặc biệt trong chuỗi trước khi hiển thị chúng trên trang web.

Ưu điểm và nhược điểm của hàm htmlspecialchars() PHP

Ưu điểm:

  • Đơn giản, dễ sử dụng
  • Giúp tránh các lỗi liên quan đến cú pháp và hiển thị ký tự
  • Tăng tính bảo mật cho ứng dụng tránh các lỗ hổng XSS

Nhược điểm:

  • Chỉ chuyển đổi một số ký tự cụ thể, không phải tất cả các ký tự đặc biệt
  • Có thể gây ra hiện tượng ký tự bị mã hóa 2 lần nếu không cẩn thận

Trên đây là một số chia sẻ về cách sử dụng hàm htmlspecialchars() trong PHP. Hy vọng bài viết đã cung cấp những thông tin hữu ích giúp bạn áp dụng tốt hàm này trong thực tế.

1. Ký tự nào được chuyển đổi bởi htmlspecialchars() PHP?

Hàm này chuyển đổi các ký tự: &, “, ‘, <, > sang thực thể HTML tương ứng.

2. Hàm htmlspecialchars() PHP có bảo mật không?

Có, nó giúp ngăn chặn lỗi XSS bằng cách chuyển đổi các ký tự đặc biệt. Tuy nhiên vẫn cần kết hợp các biện pháp bảo mật khác.

3. Hàm nghịch đảo của htmlspecialchars()?

Đó là hàm htmlspecialchars_decode() dùng để giải mã các ký tự đã mã hóa.

4. Sự khác nhau của htmlspecialchars() và htmlentities()?

htmlspecialchars(): chỉ mã hóa một số ký tự cụ thể htmlentities(): mã hóa tất cả các ký tự có thực thể HTML tương ứng.

5. htmlspecialchars() có tham số nào bắt buộc không?

Không, tất cả các tham số đều là tùy chọn. Chỉ cần truyền chuỗi cần chuyển đổi là đủ.