تابع htmlentities در php (پی‌اچ‌پی)

تابع htmlentities کاراکترهای قابل اجرا در ورودی خود را به به کاراکتر های رزرو شده html یا همان html entity ها تبدیل می کند. تبدیل کاراکترهای قابل اجرا مانع اجرای این کاراکترهای ‌‌می‌شوند و در نتیجه موجب افزایش امنیت وب سایت یا اپلیکشن تحت وب می‌شود.
برای مثال اگر داده‌های دریافتی از کاربر را به طور مستقیم در یک کوئری استفاده کنیم اگر داده‌های ورودی از سوی کاربر حاوی رشته‌های قابل اجرا در کوئری ها مثل ‘یا ” باشد موجب به وجود آمدن یک خطا می ‌شود و عملکرد وب سایت شما را مختل می‌کند لذا فیلتر کردن داده های دریافتی علی الخصوص زمانی که داده‌ها را از کاربران دریافت می‌کنید و در وب سایت به عموم نمایش می‌دهید با ‌تابع ‌htmlentities در طراحی سایت شدیدا توصیه می‌شود.

کاراکترهای رزرو شده html یا html entities در طراحی سایت

شکل کلی کاراکتر های رزرو شده در html به صورت زیر می‌باشد

&entity_name; OR &#entity_number;

این کاراکترها با یک & یا همان ampersand شروع و به دنبال آن اسم یا شماره مشخص شده آنها می آید و با یک سمی کالن ; (semicolon) تمام می‌شود . کاراکتر هایی که اسم آنها با شماره مشخص می شود اول آنها ، یک # نیز اضافه می‌شود و نمایش دهنده کارکتر‌های خاصی هستند که برخی از آنها نیز روی کیبورد موجود نیستند.

برای نمایش علامت > در html این حرف را به صورت ;&lt و یا < باید تابیپ کنیم.

جهت مطالعه‌ی بیشتر در مورد html entities کلیک کنید

اما نحوی عملکرد و استفاده از تابع htmlentities در طراحی وب سایت و نقش آن در تامین امنیت اپلیکشن یا وب سایت شما

این تابع در پی‌اچ‌پی به صورت زیر تعریف شده است و چهار آرگومان دارد

string htmlentities(string,flags,character-set,double_encode)

آرگومان اول رشته‌ای می‌باشد که قرار است کارکترهای مخصوص و آسیب زننده به ‌موجودیت ‌html تبدیل شوند

آرگومان دوم اختیاری می‌باشد و یک یا چند ثابت تعریف شده در ‌پی‌اچ‌پی می‌باشد که نحوه‌ی رفتار این تابع با کاراکتر نقل قول(‘,”) را مشخص می‌کند.

جدول ثابتهای موجود برای آرگومان دوم تابع
نام	توضیح
`ENT_COMPAT`	اگر این ثابت به عنوان آرگومان دوم این تابع مورد استفاده قرارگیرد این تابع کارکتر دابل کتشن(“) را به موجودیت html تبدیل می‌کند ولی تک کتشن (‘) را به موجودیت html تبدیل نمی‌کند.
`ENT_QUOTES`	هر دو نوع کتشن(‘,”) را به موجودیت html تبدیل می‌کند
`ENT_NOQUOTES`	اجازه می‌دهد دابل و تک کتشن به موجودیت ‌html تبدیل نشوند.
`ENT_IGNORE`	کاراکتر‌ها یا کدهای ناشناس را حذف می‌کند به جای این که رشته خالی برگرداند.
`ENT_SUBSTITUTE`	کدهای ناشناس را با یونی کدها U+FFFD (UTF-8) , &#FFFD;جایگزین می‌کند در صورتی که موفق به جایگزین کردن نشود رشته‌ی خالی بر‌می‌گرداند.
`ENT_DISALLOWED`	کد پوینت‌های ناشناس از منبع در یافتی با U+FFFD(UTF-8) یا &#FFD جایزین می‌کند.به طور مثال برای این که مطمئن شوید از سند دریافتی ‌ XML اده های اضافی جاسازی نشده است می‌توانید از این ورودی استفاده کنید.
`ENT_HTML401`	رشته ورودی را به عنوان HTML4.01. در نظر می‌گیرد و رشته‌ی ورودی را برحسب HTML4.01 کد می‌کند. برای استفاده‌ی این تابع در سندهای HTML4.01 می‌باشد.
`ENT_XML1`	رشته ورودی را به عنوان XML1. در نظر می‌گیرد و رشته‌ی ورودی را برحسب استانداردهای XML1 کد می‌کند. برای استفاده‌ی این تابع در سندهای XML1 می‌باشد.
`ENT_XHTML`	رشته ورودی را به عنوان XHTML. در نظر می‌گیرد و رشته‌ی ورودی را برحسب استانداردهای XHTML کد می‌کند. برای استفاده‌ی این تابع در سندهای XHTML می‌باشد.
`ENT_HTML5`	رشته ورودی را به عنوان HTML5 در نظر می‌گیرد و رشته‌ی ورودی را برحسب استانداردهای HTML5 کد می‌کند. برای استفاده‌ی این تابع در سندهای HTML5 می‌باشد.

آرگومان چهارم از نوع بولین یا منطقی بوده و به صورت پیش فرض صحیح می‌باشد.وقتی این آرگومان TRUE می‌باشد این تابع همه‌ی کاراکترهای دریافتی را به موجودی ‌اچ‌تی‌ام تبدیل می‌کند و در صورتی که ‌false باشد این تابع از تبدیل یا کد کردن موجودیت‌های در یافتی در آرگومان اول را به موجودیت html دریافت نمی‌کند.

مقدرا برگشتی تابع ‌ٰhtmlentities: رشته‌ی کد شده را باز می‌گرداند.

در صورتی که رشته‌ی ورودی به صورت متوالی شامل کدهای ناشناخته باشد این تابع یک رشته‌ی خالی بر‌می‌گرداند مگر این که یکی از مقادیر ENT_IGNORE یا ENT_SUBSTITUTE را به متغیر دوم و یا همان فلگ منتسب کنیم.

تابع htmlentities در php (پی‌اچ‌پی)

کاراکترهای رزرو شده html یا html entities در طراحی سایت

دیدگاه خود را بنویسید