Как экранировать в html
Перейти к содержимому

Как экранировать в html

  • автор:

Как экранировать html-теги и php?

Добрый день. Есть ли какой нибудь способ экранировать все html теги кроме некоторых? Допустим оставить только

, а остальное экранировать? И как можно экранировать ? По идее я знаю как это сделать, но получается что убирается только тег, а контент внутри него остается.

Отслеживать
задан 1 авг 2014 в 11:02
527 1 1 золотой знак 5 5 серебряных знаков 19 19 бронзовых знаков

3 ответа 3

Сортировка: Сброс на вариант по умолчанию

по поводу p и b — один из способов, через замену, заменим

на

экранизируем, а потом обратно подставим. ЛИБО — экранизация, это замена символа < на его код - < значит можно сделать так:

$text = htmlspecialchars($text); $text = str_replace("<p>", "
", $text); $text = str_replace("</p>", "
", $text);

Отслеживать
ответ дан 1 авг 2014 в 11:24
9,204 4 4 золотых знака 24 24 серебряных знака 47 47 бронзовых знаков
тоже как вариант, но лучше strip_tags.
1 авг 2014 в 12:02

Используй функцию strip_tags. Так же он уберет тебе php даже не будет показывать символы HTML.

$text = strip_tags ($text, '
'); $text = strip_tags ($text, '');

Отслеживать
ответ дан 1 авг 2014 в 12:01
745 2 2 золотых знака 17 17 серебряных знаков 30 30 бронзовых знаков

Да, проблему тегов это решает (и php наверно тоже) :). Проблему с ?php можно так же решить через htmlspecialchars

1 авг 2014 в 12:05

Если правильно понял, то так

(.*?)\~msi", "\\2
", $text); $text = preg_replace("~\(.*?)\~msi", "\\2", $text); $text = htmlspecialchars($text); $text = preg_replace("~\(.*?)\~msi", "\\2
", $text); $text = preg_replace("~\(.*?)\~msi", "\\2", $text); ?>

Если не совсем правильно понял если нудно просто почистить весь текст он лишних html тегов то так

Экранировать PHP код можно скорее всего таким образом

 PHP; $code = htmlspecialchars($code); ?>

Экранирование (или что нужно знать для работы с текстом в тексте)

SQL инъекции, подделка межсайтовых запросов, поврежденный XML… Страшные, страшные вещи, от которых мы все бы хотели защититься, да вот только знать бы почему это все происходит. Эта статья объясняет фундаментальное понятие, стоящее за всем этим: строки и обработка строк внутри строк.

Основная проблема

Это всего лишь текст. Да, просто текст — вот она основная проблема. Практически все в компьютерной системе представлено текстом (который, в свою очередь, представлен байтами). Разве что одни тексты предназначены для компьютера, а другие — для людей. Но и те, и те, всё же остаются текстом. Чтобы понять, о чем я говорю, приведу небольшой пример: 

  
Homo Sapiens Suppose, there is the English text, which I don't wanna translate into Russian

Не поверите: это — текст. Некоторые люди называют его XML, но это — просто текст. Возможно, он не подойдет для показа учителю английского языка, но это — всё еще просто текст. Вы можете распечатать его на плакате и ходить с ним на митинги, вы можете написать его в письме своей маме… это — текст.

Тем не менее, мы хотим, чтобы определенные части этого текста имели какое-то значение для нашего компьютера. Мы хотим, чтобы компьютер был в состоянии извлечь автора текста и сам текст отдельно, чтобы с ним можно было что-то сделать. Например, преобразовать вышеупомянутое в это: 

 Suppose, there is the English text, which I don't wanna translate into Russian by Homo Sapiens

Откуда компьютер знает, как сделать это? Ну, потому что мы весьма кстати обернули определенные части текста специальными словами в забавных скобках, как, например, и . Поскольку мы сделали это, мы можем написать программу, которая искала бы эти определенные части, извлекала текст и использовала бы его для какого-нибудь нашего собственного изобретения.

Иными словами, мы использовали определенные правила в нашем тексте, чтобы обозначить некое особое значение, которое кто-то, соблюдая те же правила, мог бы использовать.
Ладно, это всё не так уж и трудно понять. А что если мы хотим использовать эти забавные скобки, имеющие какое-то особое значение, в нашем тексте, но без использования этого самого значения. Примерно так: 

  
Homo Sapiens Basic math tells us that if x < n and y >n, x cannot be larger than y.

Символы «» не являются ничем особенным. Они могут законно использоваться где угодно, в любом тексте, как в примере выше. Но как же наша идея о специальных словах, типа ? Значит ли это, что » < n and y >» тоже является каким-то ключевым словом? В XML — возможно да. А возможно нет. Это неоднозначно. Поскольку компьютеры не очень справляются с неоднозначностями, то что-то в итоге может дать непредвиденный результат, если мы не расставим сами все точки над i и не устраним неоднозначности.
Решить эту дилемму можно, заменив неоднозначные символы чем-то однозначным. 

  
Homo Sapiens Basic math tells us that if x < n and y > n, x cannot be larger than y.

Теперь, текст должен стать полностью однозначным. «<» равносильно «».
Техническое определение этого — экранирование, мы избегаем специальные символы, когда не хотим, чтобы они имели свое особое значение. 

escape |iˈskāp| [ no obj. ] вырваться на свободу [ with obj. ] не заметить / не вспомнить [. ] [ with obj. ] IT: причина быть интерпретированным по-разному [. ]

Если определенные символы или последовательности символов в тексте имеют особое значение, то должны быть правила, определяющие, как разрешить ситуации, когда эти символы должны использоваться без привлечения своего особого значения. Или, другими словами, экранирование отвечает на вопрос: «Если эти символы такие особенные, то как мне их использовать в своем тексте?».
Как можно было заметить в примере выше, амперсанд (&) — это тоже специальный символ. Но что делать, если мы хотим написать «<«, но без интерпретации этого как »

Другие примеры

XML — не единственный случай «страдания» от специальных символов. Любой исходный код, в любом языке программирования может это продемонстрировать: 

var name = "Homo Sapiens"; var contents = "Suppose, there is the English text, which I don't wanna translate into Russian";

Всё просто — обычный текст четко отделяется от «не текста» двойными кавычками. Таким же образом можно использовать и мой текст из курса математического анализа: 

var name = "Homo Sapiens"; var contents ;

Клево! И даже не нужно прибегать к экранированию! Но, подождите, а что, если я хочу процитировать кого-нибудь? 

var name = "Homo Sapiens"; var contents = "Plato is said to once have said "Lorem ipsum dolor sit amet".";

Хм… печаль, тоска. Как человек, Вы можете определить где начинается и заканчивается текст и где находится цитата. Однако это снова стало неоднозначным для любого компьютера. Мы должны придумать какие-то правила экранирования, которые помогали бы нам различить буквальный » и «, который означает конец текста. Большинство языков программирование используют косую черту: 

var name = "Homo Sapiens"; var contents = "Plato is said to once have said \"Lorem ipsum dolor sit amet\".";

«\» делает символ после него не специальным. Но это, опять-таки, значит, что «\» — специальный символ. Для однозначного написания этого символа в тексте, к нему нужно добавить такой же символ, написав: «\\». Забавно, не так ли?

Атака!

Не всё было бы так плохо, если бы просто должны были прибегать к экранированию. Напрягает конечно, но это не так ужасно. Проблемы начинаются, когда одни программы пишут текст для других программ, чтобы те могли его «читать». И нет, это не научная фантастика, это происходит постоянно. Например, на этом сайте, вы, публикуя сообщение, не набираете его в ручную в формате HTML, а пишите лишь только текст, который, в последствие, преобразуется этим сайтом в HTML, после чего, уже браузер, преобразует «сгенерированный» HTML снова в читабельный текст.

Другой распространенный пример и источник многих проблем безопасности — SQL запросы. SQL — язык, предназначенный для упрощения общения с базами данных: 

SELECT phone_number FROM users WHERE name = 'Alex'

В этом тексте практически нет никаких специальных символов, в основном английские слова. И все же, фактически у каждого слова в SQL есть особое значение. Это используется во многих языках программирования во всем мире в той или иной форме, например: 

$query = "SELECT phone_number FROM users WHERE name = 'Alex'"; $result = mysql_query($query);

Эти две простые строки абстрагируют от нас ужасно сложную задачу запроса программой у БД данных, удовлетворяющих нашим требованиям. БД «просеивает», возможно, терабайты битов и байтов, чтобы вернуть красиво отформатированный результат программе, сделавшей запрос. Серьезно, вся эта хрень инкапсулирована в простом англо-подобном предложении.

Для того, чтобы сделать это полезным, подобные запросы не хард-кодятся, а строятся на основе пользовательского ввода. Это же предложение, направленное на использование разными пользователями: 

$name = $_POST['name']; $query = "SELECT phone_number FROM users WHERE name = '$name'"; $result = mysql_query($query);

В случае, если Вы просто просматриваете эту статью: Это — анти-пример! Это худшее, что Вы когда-либо могли сделать! Это кошмар безопасности! Каждый раз, когда Вы будете писать что-то подобное, будет погибать один невинный котенок! Ктулху сожрет Вашу душу за это!

А теперь давайте посмотрим, что здесь происходит. $_POST[‘name’] — значение, которое некий случайный пользователь ввел в некую случайную форму на вашем случайно веб-сайте. Ваша программа построит SQL-запрос, использующий это значение в качестве имени пользователя, которого Вы хотели бы найти в БД. Затем это SQL «предложение» отправляется прямиком в БД.

Вроде бы звучит все не так ужасно, да? Давайте попробуем ввести несколько случайных значений, которые можно ввести на вашем случайном веб-сайте и какие запросы из этого получатся:

SELECT phone_number FROM users WHERE name = 'Alex'

Mc’Donalds 

SELECT phone_number FROM users WHERE name = 'Mc'Donalds'

Joe’; DROP TABLE users; — 

SELECT phone_number FROM users WHERE name = 'Joe'; DROP TABLE users; --'

Первый запрос выглядит не страшно, а вполне себе мило, правда? Номер 2, кажется, «несколько» повреждает наш синтаксис из-за неоднозначного ‘. Чертов немец! Номер 4 какой-то дурацкий. Кто бы такое написал? Это ведь не имеет смысла…
Но не для БД, обрабатывающей запрос… БД понятия не имеет от куда этот запрос поступил, и что он должен значить. Единственное, что она видит — это два запроса: найти номер пользователя по имени Joe, а затем удалить таблицу users (что сопровождается комментарием ‘), и это будет успешно сделано.

Для вас это не должно быть новостью. Если это так, то, пожалуйста, прочитайте эту статью еще раз, ибо Вы либо новичок в программировании, либо последние 10 лет жили в пещере. Этот пример иллюстрирует основы SQL-инъекций, применяемых во всем мире. для того, чтобы удалить данные, или получить данные, которые не должны быть просто так получены, или войти в систему, не имея на то прав и т.д. А все потому, что БД воспринимает англо-подобный «приговор» слишком буквально.

Впереееееед!

Следующий шаг: XSS атаки. Действуют они аналогично, только применяются к HTML.
Допустим, Вы решили проблемы с БД, получаете данные от пользователя, записываете в базу и выводите их назад на веб-сайт, для доступа пользователям. Это то, что делает типичный форум, система комментариев и т.д. Где-то на вашем сайте есть что-то подобное: 

  Posted by on

Если ваши пользователи будут хорошими и добрыми, то они будут размещать цитаты старых философов, а сообщения будут иметь примерно следующий вид: 

 
 
Posted by Plato on January 2, 15:31
 
I am said to have said "Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat."

Если пользователи будут умниками, то они, наверное, будут говорить о математике, и сообщения будут такие: 

 
 
Posted by Pascal on November 23, 04:12






 
Basic math tells us that if x < n and y >n, x cannot be larger than y.

Хм… Опять эти осквернители наших скобок. Ну, с технической точки зрения они могут быть неоднозначными, но браузер простит нам это, правда?

 
 
Posted by JackTR on July 18, 12:56

Хорошо, СТОП, что за черт? Какой-то шутник ввел javascript теги на ваш форум? Любой, кто смотрит на это сообщение на вашем сайте, сейчас загружает и выполняет скрипты в контексте вашего сайта, которые могут сделать не весть что. А это не есть хорошо.

Не следует понимать буквально

В вышеупомянутых случаях, мы хотим каким-то образом сообщить нашей БД или браузеру, что это просто текст, ты с ним ничего не делай! Другими словами, мы хотим «удалить» особые значения всех специальных символов и ключевых слов из любой информации, предоставленной пользователем, ибо мы ему не доверяем. Что же делать?

Что? Что говоришь, мальчишка? Ах, ты говоришь, «экранирование»? И ты абсолютно прав, возьми печеньку!
Если мы применим экранирование к пользовательским данным до объединения их с запросом, то проблема решена. Для наших запросов к БД это будет что-то вроде: 

$name = $_POST['name']; $name = mysql_real_escape_string($name); $query = "SELECT phone_number FROM users WHERE name = '$name'"; $result = mysql_query($query);

Просто одна строка кода, но теперь больше никто не может «взломать» нашу базу данных. Давайте снова посмотрим как будут выглядеть SQL-запросы, в зависимости от ввода пользователя:
Alex 

SELECT phone_number FROM users WHERE name = 'Alex'

Mc’Donalds 

SELECT phone_number FROM users WHERE name = 'Mc\'Donalds'

Joe’; DROP TABLE users; — 

SELECT phone_number FROM users WHERE name = 'Joe\'; DROP TABLE users; --'

mysql_real_escape_string без разбора помещает косую черту перед всем, у чего может быть какое-то особое значение.

Далее, заменим наш скрипт на форуме: 

   Posted by on

Мы применяем функцию htmlspecialchars ко всем пользовательским данным, прежде, чем вывести их. Теперь сообщение вредителя выглядит так: 

  
 
Posted by JackTR on July 18, 12:56






 
<script src="http://evil.com/dangerous.js" type="text/javascript" charset="utf-8"></script>

Обратите внимание, что значения, полученные от пользователи, на самом деле не «повреждены». Любой браузер парсит этот как HTML и выведет на экран все в правильной форме.

Что возвращает нас к.

Все вышеупомянутое демонстрирует проблему, характерную для многих систем: текст в тексте должно быть подвергнут экранированию, если предполагается, что он не должен иметь специальных символов. Помещая текстовые значения в SQL, они должны быть экранированы по правилам SQL. Помещая текстовые значения в HTML, они должны быть экранированы по правилам HTML. Помещая текстовые значения в (название технологии), они должны быть экранированы по правилам (название технологии). Вот и все.

Для полноты картины
  • Validation
    Вы можете проверить, соответствует ли пользовательский ввод некоторой заданной спецификации. Если Вы требуете ввода числа, а пользователь вводит нечто другое, программа должна сообщить ему об этом и отменить ввод. Если все это правильно организовать, то нет никакого риска схватить «DROP TABLE users» там, где, предполагалось, пользователь введет «42». Это не очень практично, для избегания HTML/SQL-инъекций, т.к. часто требуется принять текст свободного формата, который может содержать «подковырки». Обычно валидацию используют в дополнение к другим мерам.
  • Sanitization
    Вы можете так же «втихую» удалить любые символы, которые считаете опасными. Например, просто удалить что-либо похожее на HTML-тег, что избежать добавления на ваш форум. Проблема в том, что вы можете удалить вполне законные части текста.
    Prepared SQL statements
    Есть специальные функции, делающие то, чего мы и добивались: заставляют БД понять различия между самим SQL-запросом и информацией, предоставленной пользователями. В РНР они выглядят примерно так: 
$stmt = $pdo->prepare('SELECT phone_number FROM users WHERE name = ?'); $stmt->execute($_POST['name']);

При этом отправка происходит в два этапа, четко разграничивая запрос и переменные. БД имеет возможность сначала понять структуру запроса, а потом заполнить его значениями.

BootstrapTema

Экранирование, преобразование спецсимволов тегов онлайн для изменения угловых скобок < и >HTML кода в демонстрационных примерах кодов, теги станут неактивными при добавлении в HTML страницу и его можно будет показать.

Экранировать Скопировать &#10006 Очистить

Зачем экранировать HTML код?

Всё очень просто, HTML код в чистом не экранированном виде будет активным и его нельзя будет показать окружающим. Обычно экранирование используется для размещения внутри тега или . Наш преобразователь спецсимволов экранирует символы < , >, & , » , ‘ и % . Ваши теги и спецсимволы будут экранированы и код можно безопасно добавить в демонстрационном виде.

Контекстное экранирование с помощью zend-escaper

Обеспечение безопасности веб-сайта — это не только защита от SQL инъекций, но и протекция от межсайтового скриптинга (XSS), межсайтовой подделки запросов (CSRF) и от других видов атак. В частности, вам нужно очень осторожно подходить к формированию HTML, CSS и JavaScript кода.

Рецепт защиты звучит просто: данные нужно фильтровать и экранировать.

PHP фильтрация данных — дело не простое. К примеру, чтобы экранировать HTML вам потребуется вызвать функцию htmlspecialchars() , с флагами ENT_QUOTES | ENT_SUBSTITUTE , а также указать кодировку символов:

htmlspecialchars($string, ENT_QUOTES | ENT_SUBSTITUTE, 'utf-8')

Эффективное экранирование HTML атрибутов, CSS и JavaScript кода требует намного большей скрупулёзности. Следует брать во внимание преобразование символов из одной кодировки в другую, регулярные выражения и многое другое. Само собой напрашивается дополнительное решение.

В Zend Framework есть компонент zend-escaper, в котором присутствуют все нужные инструменты для экранирования HTML, HTML атрибутов, JavaScript, CSS кода и URL.

Установка

Для работы zend-escaper требуется PHP (версии не ниже 5.5), установить можно через composer:

$ composer require zendframework/zend-escaper

Использование

Для работы с компонентом необходимо создать объект класса Zend\Escaper\Escaper .

use Zend\Escaper\Escaper; $escaper = new Escaper('iso-8859-1');

Если не указать кодировку символов самим, то компонент выставит значение по умолчанию utf-8 . Инициализация без аргументов:

use Zend\Escaper\Escaper; $escaper = new Escaper();

В классе присутствуют следующие методы:

  • escapeHtml(string $html) : string экранирование HTML кода. Данный метод преобразует символы < , >, на символ & .
  • escapeHtmlAttr(string $value) : string экранирование строки для использования в HTML атрибутах.
  • escapeJs(string $js) : string экранирование JS скрипта, которое преобразует тег . Защита от XSS атак.
  • escapeCss(string $css) : string экранирование CSS кода ; Защита от XSS кода.
  • escapeUrl(string $urlPart) : string экранирование URL, а точнее части URL, например параметров.
echo $escaper->escapeHtml(''); // результат "" echo $escaper->escapeHtmlAttr(""); // результат "" echo $escaper->escapeJs("bar"; alert("zf"); var xss="true"); // результат "bar\x26quot\x3B\x3B\x20alert\x28\x26quot\x3Bzf\x26quot\x3B\x29\x3B\x20var\x20xss\x3D\x26quot\x3Btrue" echo $escaper->escapeCss("background-image: url('/zf.png?');"); // результат "background\2D image\3A \20 url\28 \27 \2F zf\2E png\3F \3C \2F style\3E \3C script\3E alert\28 \5C \27 zf\5C \27 \29 \3C \2F script\3E \27 \29 \3B" echo $escaper->escapeUrl('/foo " onmouseover="alert(\'zf\')'); // результат "%2Ffoo%20%22%20onmouseover%3D%22alert%28%27zf%27%29"

Где это применять?

  • В файлах шаблонов, будь то zend-view или Plates.
  • В шаблонах электронных писем.
  • В API сериалайзерах для экранирования URL или XML атрибутов.
  • Для защиты от XSS атак.

Пишите безопасные приложения!

Данный урок подготовлен для вас командой сайта ruseller.com
Источник урока: https://framework.zend.com/blog/2017-05-16-zend-escaper.html
Перевел: Станислав Протасевич
Урок создан: 9 Июня 2017
Просмотров: 19619
Правила перепечатки

5 последних уроков рубрики «PHP»

Фильтрация данных с помощью zend-filter

Когда речь идёт о безопасности веб-сайта, то фраза «фильтруйте всё, экранируйте всё» всегда будет актуальна. Сегодня поговорим о фильтрации данных.

Подключение Zend модулей к Expressive

Expressive 2 поддерживает возможность подключения других ZF компонент по специальной схеме. Не всем нравится данное решение. В этой статье мы расскажем как улучшили процесс подключение нескольких модулей.

Совет: отправка информации в Google Analytics через API

Предположим, что вам необходимо отправить какую-то информацию в Google Analytics из серверного скрипта. Как это сделать. Ответ в этой заметке.

Подборка PHP песочниц

Подборка из нескольких видов PHP песочниц. На некоторых вы в режиме online сможете потестить свой код, но есть так же решения, которые можно внедрить на свой сайт.

Совет: активация отображения всех ошибок в PHP

При поднятии PHP проекта на новом рабочем окружении могут возникнуть ошибки отображение которых изначально скрыто базовыми настройками. Это можно исправить, прописав несколько команд.

Похожие публикации:
  1. Как запретить обновление chrome на android
  2. Как отвязать карту от яндекс
  3. Как создать контейнер закрытого ключа
  4. Напишите программу которая выводит на экран все цифры числа начиная с первой

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *