htmlentities() 是不是足以创建 xml 安全值?
Posted
技术标签:
【中文标题】htmlentities() 是不是足以创建 xml 安全值?【英文标题】:Is htmlentities() sufficient for creating xml-safe values?htmlentities() 是否足以创建 xml 安全值? 【发布时间】:2011-02-18 20:22:35 【问题描述】:我正在从头开始构建一个 XML 文件,并且需要知道 htmlentities() 是否转换了每个可能破坏 XML 文件(可能还有 UTF-8 数据)的字符?
这些值将来自 twitter/flickr 提要,所以我需要确定-
【问题讨论】:
在***.com/q/18039765/287948查看另一个 XML 安全的 UTF8 问题和解决方案 【参考方案1】:htmlentities()
不是构建合法 XML 的保证方式。
如果您只担心这些,请使用htmlspecialchars()
而不是htmlentities()
。如果您的数据表示和 XML 文档的编码之间存在编码不匹配,htmlentities()
可能会解决/掩盖它们(这样做会使您的 XML 大小膨胀)。我相信最好让你的编码保持一致,只使用htmlspecialchars()
。
另外,请注意,如果您将 htmlspecialchars()
的返回值插入以单引号分隔的 XML 属性,您还需要传递 ENT_QUOTES
标志,以便源字符串中的任何单引号都被正确编码以及。我建议无论如何都这样做,因为它可以让您的代码免受将来有人对 XML 属性使用单引号引起的错误。
编辑:澄清:
htmlentities()
会将许多非 ANSI 字符(我假设这就是您所说的 UTF-8 数据的意思)转换为实体(仅用 ANSI 字符表示)。但是,它不能对没有对应实体的任何字符执行此操作,因此不能保证其返回值仅由 ANSI 字符组成。这就是为什么我建议不要使用它。
如果可能存在编码问题,请明确处理(例如使用iconv()
)。
编辑 2:考虑到 Josh Davis 的以下评论,改进了答案。
【讨论】:
不要将htmlentities
用于XML;它适用于 HTML 而不是 XML。 XML 只知道 amp、lt、gt、apos 和 quot这五个实体>。但是htmlentities
会使用更多(那些为 HTML 注册的)。
感谢您对使用 ENC_QUOTES 的详尽解释和注意事项!
“这将使您的 XML 保证合法”的声明再错误不过了。如上所述,htmlentities() 使用 XML 中未定义的实体。此外,它不会清理不应出现在 XML 文档中的字节,例如 NUL 字节。它也不会清理无效的 UTF-8,因此在某些情况下,XML 解析器可能无法解析生成的文档。
htmlspecialchars($string, ENT_XML1)
怎么样
@Meglio 自 php 7.3.5 起,使用 ENT_QUOTES | ENT_XML1
与仅使用 ENT_QUOTES
相同,仅 ENT_NOQUOTES
与仅使用 ENT_XML1
相同。【参考方案2】:
Dom::createTextNode()
会自动转义您的内容。
例子:
$dom = new DOMDocument;
$element = $dom->createElement('Element');
$element->appendChild(
$dom->createTextNode('I am text with Ünicödé & HTML €ntities ©'));
$dom->appendChild($element);
echo $dom->saveXml();
输出:
<?xml version="1.0"?>
<Element>I am text with Ünicödé & HTML €ntities ©</Element>
当您将内部编码设置为 utf-8 时,例如
$dom->encoding = 'utf-8';
你还是会得到
<?xml version="1.0" encoding="utf-8"?>
<Element>I am text with Ünicödé & HTML €ntities ©</Element>
请注意,以上与在Dom::createElement()
中设置第二个参数$value
不同。该方法只会确保您的元素名称有效。请参阅手册页上的注释,例如
$dom = new DOMDocument;
$element = $dom->createElement('Element', 'I am text with Ünicödé & HTML €ntities ©');
$dom->appendChild($element);
$dom->encoding = 'utf-8';
echo $dom->saveXml();
将导致警告
Warning: DOMDocument::createElement(): unterminated entity reference HTML €ntities ©
以及以下输出:
<?xml version="1.0" encoding="utf-8"?>
<Element>I am text with Ünicödé </Element>
【讨论】:
【参考方案3】:戈登的回答很好并解释了 XML 编码问题,但没有显示简单的功能(或黑盒的作用)。 Jon 的回答从 'htmlspecialchars' 功能推荐开始,但他和其他人犯了一些错误,那么我会强调。
优秀的程序员必须控制是否在您的字符串和 XML 数据中使用 UTF-8:UTF-8(或其他非 ASCII 编码)在一致的算法中是安全的。
安全的 UTF-8 XML 不需要完整的实体编码。不分青红皂白的编码产生“第二类,非人类可读,编码/解码需求,XML”。并且安全的 ASCII XML,也不需要实体编码,当你所有的内容都是 ASCII 时。
在 XML 内容的字符串中只需要转义 3 或 4 个字符:>
、<
、&
和可选的"
。
请阅读http://www.w3.org/TR/REC-xml/“2.4 字符数据和标记”和“4.6 预定义实体”。那么你可以使用'htmlentities'
为了说明,以下 PHP 函数将使 XML 完全安全:
// it is a didactic illustration, USE htmlentities($S,flag)
function xmlsafe($s,$intoQuotes=0)
if ($intoQuotes)
return str_replace(array('&','>','<','"'), array('&','>','<','"'), $s);
// SAME AS htmlspecialchars($s)
else
return str_replace(array('&','>','<'), array('&','>','<'), $s);
// SAME AS htmlspecialchars($s,ENT_NOQUOTES)
// example of SAFE XML CONSTRUCTION
function xmlTag( $element, $attribs, $contents = NULL)
$out = '<' . $element;
foreach( $attribs as $name => $val )
$out .= ' '.$name.'="'. xmlsafe( $val,1 ) .'"';
if ( $contents==='' || is_null($contents) )
$out .= '/>';
else
$out .= '>'.xmlsafe( $contents )."</$element>";
return $out;
在 CDATA 块中你不需要使用这个函数...但是,请避免不加选择地使用 CDATA。
【讨论】:
谢谢!!我尝试了很多 tidy、htmlentities、htmlspecialchars 的组合,但你的 xmlsafe 是最好的; (但在我推荐使用 html_entity_decode() 之前) 关于我的xmlsafe()
,正如我所说,是“为了说明”,但谢谢! :-) 关于html_entity_decode()
与 XML 的使用,请参阅***.com/q/18039765/287948 上的更多问题和解决方案
真的很感谢这个答案只是为了示例函数。我认为 Jons 的回答是最好的,但这只是因为在我的特殊情况下,它对我的帮助更大,所以我想对此投赞成票。谢谢。 (我可以投票两个答案吗?)
你可以做得更好:更正我的代码或我的英语,现在文本作为 Wiki 打开。
请帮助维护***中的CDATA Criticism section。【参考方案4】:
所以您的问题是“htmlentities() 的结果是否保证符合 XML 和 UTF-8?”答案是否定的,不是。
htmlspecialchars() 应该 足以转义 XML 的特殊字符,但无论哪种方式,您都必须清理 UTF-8 字符串。即使您使用 SimpleXML 构建 XML,您也必须清理字符串。 XMLWriter 或者 DOM 等其他库我不知道,我认为是一样的。
【讨论】:
【参考方案5】:我想我会为那些需要清理和不丢失 XML 属性的人添加这个。
// Returns SimpleXML Safe XML keeping the elements attributes as well
function sanitizeXML($xml_content, $xml_followdepth=true)
if (preg_match_all('%<((\w+)\s?.*?)>(.+?)</\2>%si', $xml_content, $xmlElements, PREG_SET_ORDER))
$xmlSafeContent = '';
foreach($xmlElements as $xmlElem)
$xmlSafeContent .= '<'.$xmlElem['1'].'>';
if (preg_match('%<((\w+)\s?.*?)>(.+?)</\2>%si', $xmlElem['3']))
$xmlSafeContent .= sanitizeXML($xmlElem['3'], false);
else
$xmlSafeContent .= htmlspecialchars($xmlElem['3'],ENT_NOQUOTES);
$xmlSafeContent .= '</'.$xmlElem['2'].'>';
if(!$xml_followdepth)
return $xmlSafeContent;
else
return "<?xml version='1.0' encoding='UTF-8'?>".$xmlSafeContent;
else
return htmlspecialchars($xml_content,ENT_NOQUOTES);
用法:
$body = <<<EG
<?xml version='1.0' encoding='UTF-8'?>
<searchResult count="1">
<item>
<title>2016 & Au Rendez-Vous Des Enfoir&</title>
</item>
</searchResult>
EG;
$newXml = sanitizeXML($body);
var_dump($newXml);
返回:
<?xml version='1.0' encoding='UTF-8'?>
<searchResult count="1">
<item>
<title>2016 & Au Rendez-Vous Des Enfoir&</title>
</item>
</searchResult>
【讨论】:
以上是关于htmlentities() 是不是足以创建 xml 安全值?的主要内容,如果未能解决你的问题,请参考以下文章
php htmlentities和htmlspecialchars 的区别