Экранирование спецсимволов с помощью htmlspecialchars

@Appi · Регистрация: 18.02.2015

Студворк — интернет-сервис помощи студентам

Всем доброго времени суток.
Я что-то не до конца вдупляю как работает экранирование.

Закодировал все с помощью htmlspecialchars, далее вытаскиваю через echo, все показывает нормально.

Сую в HTML Разметку и вижу примерно такое: 57th & 9th

Если я юзаю htmlspecialchars_decode - работает и все экранирует (В разметке уже).

Но если я открываю тестовый скрипт и пишу echo htmlspecialchars_decode, то он в случае в <script>, выполняет скрипт.

Суть в том, что я боюсь если что-то забагуется в HTML разметки и htmlspecialchars_decode выведет мне рабочий <script> будет плохо

@miketomlin · 15.11.2016, 12:15

Это не экранирование, а кодирование. Экранирование – это «отсвечивание» бэкслешем или дублирование.

В браузере фактический код 57th & 9th будет отображать, как 57th & 9th. Соответственно перед выводом в браузер или еще раньше вы должны закодировать текст, если подозреваете наличие в нем спецсимволов, которые должны быть показаны в браузере, как обычный текст.

@Appi · 15.11.2016, 12:23 **[ТС]**

Окей, не совсем точно подобрал слово. Суть лежит в том, чтобы <script> выводился понятным для человека "языком", но при этом он не выполнялся.

Добавлено через 6 минут
В чем проблема, он в обычном echo отображает (В тестовом пустом файле). А когда я юзаю уже в шаблонах все это дело - тут он не работает. Он выводит все так же &, а вот если напишу htmlspecialchars_decode, он выведет мне &, при этом даже <script> не будет работать, а выведет как текст. И я не понимаю, почему?

@miketomlin · 15.11.2016, 12:36

Вы не кодируйте все подряд. JS-код кодировать не нужно. Нужно кодировать только текст, который должен отображаться в браузере, как обычный текст.

Добавлено через 3 минуты

Сообщение от Appi

В чем проблема, он в обычном echo отображает (В тестовом пустом файле).

Посмотрите в исходник – там все равно будет &

@Appi · 15.11.2016, 12:52 **[ТС]**

Да, я не кодирую все подряд, как раз таки текст храниться в БД, и если хитрожопый пользователь решит заюзать <script> то чтобы система этот скрипт заэкранила. А не выполнила. В БД все правильно храниться, при выводе надо чтобы нормально отображалось без использования функции htmlspecialchars_decode (Если я правильно понял, она декодирует и скрипт будет выполняться). В моем магическом случае скрипт не выполняется, а приходит в читабельный вид, вместо < и прочего (В результате уже, а не БД или где-то еще). Если я не юзаю, в результате при выводе выводит все равно <

@miketomlin · 15.11.2016, 12:59

Вы уж определитесь, что вам нужно:

Сообщение от Appi

если хитрожопый пользователь решит заюзать <script> то чтобы система этот скрипт заэкранила

Сообщение от Appi

В моем магическом случае скрипт не выполняется, а приходит в читабельный вид

Про decode забудьте пока. Изначально поступающий от пользователя текст кодируйте, но не декодируйте. Со своим JS-скриптом вообще ничего не делайте.

@Appi · 15.11.2016, 13:07 **[ТС]**

Да нет, я понимаю что мне нужно. Я понимаю что мне НЕ нужно декодировать. Если я не Декодирую, то у меня весь текст на странице превращается в такой вид: <

Если я декодирую, он становиться в читабельном виде и скрипт не выполняется. Но по логике вещей он должен выполниться, а если не декодировать по логике вещей он должен быть в читабельном виде, а не закодированом

@miketomlin · 15.11.2016, 13:22

Сообщение от Appi

Да нет, я понимаю что мне нужно. Я понимаю что мне НЕ нужно декодировать. Если я не Декодирую, то у меня весь текст на странице превращается в такой вид: <

Это фактический вид (в исходниках). При показе страницы браузер будет заменять эти коды на нужные символы. Если же вы видите прямо на странице < , значит в исходниках у вас &lt; – это может быть, например, результат того, что у пользователя к форме подключен редактор, самостоятельно кодирующий спец символы, а вы потом на это кодирование накатываете еще свое. Отключите у пользователя этот редактор или настройте на использование BB-кодов, если есть такая возможность.

Добавлено через 1 минуту
Отключать кодирование «у себя» небезопасно!

Новые блоги и статьи Все статьи Все блоги /
Загрузка PNG-файла с альфа-каналом с помощью библиотеки SDL3_image на Android 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .	Установка Android SDK, NDK, JDK, CMake и т.д. 8Observer8 25.01.2026 Содержание блога Перейдите по ссылке: https:/ / developer. android. com/ studio и в самом низу страницы кликните по архиву "commandlinetools-win-xxxxxx_latest. zip" Извлеките архив и вы увидите. . .
Вывод текста со шрифтом TTF на Android с помощью библиотеки SDL3_ttf 8Observer8 25.01.2026 Содержание блога Если у вас не установлены Android SDK, NDK, JDK, и т. д. то сделайте это по следующей инструкции: Установка Android SDK, NDK, JDK, CMake и т. д. Сборка примера Скачайте. . .	Использование SDL3-callbacks вместо функции main() на Android, Desktop и WebAssembly 8Observer8 24.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	моя боль iceja 24.01.2026 Выложила интерполяцию кубическими сплайнами www. iceja. net REST сервисы временно не работают, только через Web. Написала за 56 рабочих часов этот сайт с нуля. При помощи perplexity. ai PRO , при. . .	Модель сукцессии микоризы anaschu 24.01.2026 Решили писать научную статью с неким РОманом

@Appi 20 / 20 / 7 Регистрация: 18.02.2015 Сообщений: 304

	Экранирование спецсимволов с помощью htmlspecialchars 15.11.2016, 11:24. Показов 3164. Ответов 7 Метки нет (Все метки) Всем доброго времени суток. Я что-то не до конца вдупляю как работает экранирование. Закодировал все с помощью htmlspecialchars, далее вытаскиваю через echo, все показывает нормально. Сую в HTML Разметку и вижу примерно такое: 57th & 9th Если я юзаю htmlspecialchars_decode - работает и все экранирует (В разметке уже). Но если я открываю тестовый скрипт и пишу echo htmlspecialchars_decode, то он в случае в <script>, выполняет скрипт. Суть в том, что я боюсь если что-то забагуется в HTML разметки и htmlspecialchars_decode выведет мне рабочий <script> будет плохо 0

@miketomlin 930 / 846 / 190 Регистрация: 28.11.2013 Сообщений: 3,621
	15.11.2016, 12:15
	Это не экранирование, а кодирование. Экранирование – это «отсвечивание» бэкслешем или дублирование. В браузере фактический код 57th & 9th будет отображать, как 57th & 9th. Соответственно перед выводом в браузер или еще раньше вы должны закодировать текст, если подозреваете наличие в нем спецсимволов, которые должны быть показаны в браузере, как обычный текст. 1

@Appi 20 / 20 / 7 Регистрация: 18.02.2015 Сообщений: 304
	15.11.2016, 12:23 [ТС]
	Окей, не совсем точно подобрал слово. Суть лежит в том, чтобы <script> выводился понятным для человека "языком", но при этом он не выполнялся. Добавлено через 6 минут В чем проблема, он в обычном echo отображает (В тестовом пустом файле). А когда я юзаю уже в шаблонах все это дело - тут он не работает. Он выводит все так же &, а вот если напишу htmlspecialchars_decode, он выведет мне &, при этом даже <script> не будет работать, а выведет как текст. И я не понимаю, почему? 0

@Appi 20 / 20 / 7 Регистрация: 18.02.2015 Сообщений: 304
	15.11.2016, 12:52 [ТС]
	Да, я не кодирую все подряд, как раз таки текст храниться в БД, и если хитрожопый пользователь решит заюзать <script> то чтобы система этот скрипт заэкранила. А не выполнила. В БД все правильно храниться, при выводе надо чтобы нормально отображалось без использования функции htmlspecialchars_decode (Если я правильно понял, она декодирует и скрипт будет выполняться). В моем магическом случае скрипт не выполняется, а приходит в читабельный вид, вместо < и прочего (В результате уже, а не БД или где-то еще). Если я не юзаю, в результате при выводе выводит все равно < 0

@Appi 20 / 20 / 7 Регистрация: 18.02.2015 Сообщений: 304
	15.11.2016, 13:07 [ТС]
	Да нет, я понимаю что мне нужно. Я понимаю что мне НЕ нужно декодировать. Если я не Декодирую, то у меня весь текст на странице превращается в такой вид: < Если я декодирую, он становиться в читабельном виде и скрипт не выполняется. Но по логике вещей он должен выполниться, а если не декодировать по логике вещей он должен быть в читабельном виде, а не закодированом 0

Экранирование спецсимволов с помощью htmlspecialchars

Решение