我正在使用Codeginiter,并在使用“&”符号时看到在我的字符串末尾添加了分号。见下文。顺便说一句,我将这个值存储到MySQL DB中。当字符串包含“&”符号时值超过分号
在将值插入数据库之前,我正在使用htmlspecialchars。
$this->form_validation->set_rules('item_name','description','trim|required|min_length[3]|xss_clean');
这工作:
$string = "you & I";
// Displays "you & i"
这在DB追加一个分号:
$string = "you&i";
// Displays "you&i;"
您正在使用CI的xss_clean“功能”,该功能刚刚坏掉了。如果您在某处应用xss_clean,请不要期望您的数据能够存活。
取而代之,禁用它,事情应该没问题。
然后适当地过滤您的数据。实际使用xss_clean的建议在CodeIgniter文档中只是误导。保重。
我想这是因为&i被解释为实体。我建议你将所有的html特殊字符(如&,<,>等)与它们各自的htmlentities进行转换。在PHP中,您可以使用htmlspecialchars和htmlentities函数来执行此操作。
那么用“htmlentities”来代替? – luckytaxi
是的,因为我建议在我的(更新)的答案;) –
更多参考:http://codeigniter.com/forums/viewthread/84137/#429628 –
在将数据保存到数据库之前,POST数据已被污染。
顺便说一下,我也使用CI框架。
例如,客户端侧柱使用数据正常形态POST方法
Cow&Gate/英国牛栏
,你会得到在PHP服务器端是什么?
你会得到
Cow&Gate;/英国牛栏
奇怪的是,一个分号已添加
如果您发布使用XML(或AJAX或jQuery的)的数据,你可以使用encodeURIComponent方法在JavaScript中之前对数据进行编码你把它发布到服务器上,你不需要在PHP服务器端做任何额外的工作。
像这样: $.post('http-server-API', {"field": encodeURIComponent('Cow&Gate/英国牛栏')})
入住PHP服务器端的$ _ POST PARAMS(将未加分号)
HTML转成属于输出逻辑。 (尽管安全性高于对不起,过早地执行它本身并不是错误的,但这不是推荐的方法,尽管这里的问题只是过度的实现。) – mario