• Внутрішня політика
  • Точка зору
  • Лікування
  • Зовнішня політика
  • Світогляд
  • Крізь Белградське око
  • Зображення
  • Калейдоскоп
  • Щотижнева примітка
  • Економіка
  • Звіт
  • Інтерв’ю
  • ЗМІ
  • Національна політика
  • Карпатський басейн
  • Сховище можливостей
  • По дорозі додому
  • Рона
  • Сховище
  • Звіт
  • Щоденник Суботиці
  • Банатська газета
  • Мандрівний
  • З життя наших сіл
  • Події
  • Література
  • Театр
  • Фільм
  • Образотворче мистецтво
  • Танець
  • Освіта
  • Фестиваль
  • Фото
  • Журнал монітора
  • Муза-виклик
  • Хороший приятель
  • Молодь Для молоді
  • У цілому тілі
  • Краса
  • Модно
  • Водолаз душі
  • Гастрономія
  • По-домашньому
  • Творчо
  • Здоров'я
  • Долі, люди
  • Мандрівник
  • Дитинко мама
  • Гороскоп
  • Конкуренція
  • Мозаїка
  • Повідомлення
  • Зауважте
  • Телефонуйте
  • Гра
  • Прес-конференція

цифри

На попередньому уроці ми дізналися про методи POST і GET PHP та дізналися, як передати інформацію на сервер за їх допомогою. Сьогодні ми зосереджуємося на безпеці, і ми розглянемо функцію htmlentities.

Щоразу, коли ми дозволяємо користувачам розміщувати вміст на веб-сайті, важливо бути дуже обережним. Ні в якому разі не слід допускати недоліків безпеки, які дозволяють зловмисним користувачам використовувати вразливі місця. У випадках, коли текст, введений користувачем, також є видимим для всіх, бажано задуматися про використання функції htmlentities, яка запобігає запуску шкідливим кодом HTML-кодів та сценаріїв, небезпечних для інших відвідувачів.

PHP - конвертувати в сутності HTML

По-перше, давайте швидко розглянемо сутності. У HTML є кілька символів, які можуть бути частиною тегів. Прикладом може служити сигнал. Для відображення цих символів використовуються сутності. Сутність виглядає так: & entity_name; або &#number_number;. Знак "менше" можна записати як сутність наступним чином:

Якби ми не використовували функцію htmlentities, щоб перетворити символи в HTML-коді на захищені сутності, необроблений HTML-код перенаправляв би відвідувача на example.com і малював наступним чином.

Небезпечний сирий HTML:

Я напав на ваш веб-сайт, ха-ха-ха!

Ми побачили б вищезазначені два коди (безпечний та небезпечний), якби подивились вихідний код веб-сайту. Однак, якщо ми хотіли б переглядати веб-сайт у браузері як звичайний користувач, сталося б таке:

Безпечний показ:

Я напав на ваш веб-сайт, ха-ха-ха!

Небезпечний показ:

Ми побачили б сторінку зі спамом, на яку зловмисний користувач направив нас. Ми, мабуть, зайшли б на веб-сайт якоїсь неперевіреної рослинної дієтичної добавки або таблеток для схуднення.

Порада: Щоб перетворити HTML-сутності назад у символи, ви можете використовувати функцію html_entity_decode ().

Коли використовувати функцію htmlentities?

Кожного разу, коли ми дозволяємо відвідувачам розміщувати якийсь вміст на веб-сайті, ви можете відмовити їм у можливості використовувати HTML. Хоча це також запобігає багатьом чудовим справам, які могли б зробити користувачі, наприклад, високо персоналізованому вмісту, ми також можемо захистити наш веб-сайт від багатьох поширених атак. Більш досвідчені програмісти можуть точно визначити виконання членів, яких вони вважають небезпечними, але це виходить за рамки нашого сьогоднішнього уроку.

Резюме

Ми сподіваємось, ви не знайшли функцію htmlentities занадто складною! До кінця уроку ви напевно погодитесь з нами, що варто навчитися користуватися ним (а також використовувати цю функцію). Пам'ятайте, щоразу, коли ви дозволяєте користувачам розміщувати вміст на вашому сайті, ви фактично надаєте їм доступ до вашого веб-сайту. Завжди важливо серйозно ставитися до техніки безпеки та вживати відповідних заходів безпеки.

НАГРАДНА ГРА

Основною метою нашого розділу є детальніший огляд найвідоміших веб-технологій. Серед читачів, які щотижня стежать за нашою рубрикою, тобто вони разом з нами вивчають основи програмування та виконують серію завдань, ми в кінці серії намалюємо ноутбук.

На той час, коли функція htmlentities перетворює знак>?