转义字符串以在 XML 中使用

Question

我正在使用 Python 的 xml.dom.minidom 创建 XML 文档。 （逻辑结构 -> XML 字符串，而不是相反。）

如何让它转义我提供的字符串，这样它们就不会弄乱 XML？

Answer 1

这样的？

>>> from xml.sax.saxutils import escape
>>> escape("< & >")   
'&lt; &amp; &gt;'

Answer 2

你的意思是你做了这样的事情：

from xml.dom.minidom import Text, Element

t = Text()
e = Element('p')

t.data = '<bar><a/><baz spam="eggs"> & blabla &entity;</>'
e.appendChild(t)

然后你会得到很好的转义 XML 字符串：

>>> e.toxml()
'<p>&lt;bar&gt;&lt;a/&gt;&lt;baz spam=&quot;eggs&quot;&gt; &amp; blabla &amp;entity;&lt;/&gt;</p>'

Answer 3

如果你不想导入另一个项目并且你已经有cgi，你可以使用这个：

>>> import cgi
>>> cgi.escape("< & >")
'&lt; &amp; &gt;'

但是请注意，这段代码的易读性会受到影响 - 您可能应该将它放在一个函数中以更好地描述您的意图：（并在您使用它时为其编写单元测试；）

def xml_escape(s):
    return cgi.escape(s) # escapes "<", ">" and "&"

Answer 4

xml.sax.saxutils 不会转义引号字符 (")

所以这是另一个：

def escape( str ):
    str = str.replace("&", "&")
    str = str.replace("<", "&lt;")
    str = str.replace(">", "&gt;")
    str = str.replace("\"", "&quot;")
    return str

如果你查一下，那么 xml.sax.saxutils 只会替换字符串

Answer 5

xml.sax.saxutils.escape 默认只转义&、< 和>，但它确实提供了一个entities 参数来额外转义其他字符串：

from xml.sax.saxutils import escape

def xmlescape(data):
    return escape(data, entities={
        "'": "'",
        "\"": """
    })

xml.sax.saxutils.escape 内部使用str.replace()，因此您也可以跳过导入并编写自己的函数，如 MichealMoser 的答案所示。

Answer 6

xml_special_chars = {
    "<": "&lt;",
    ">": "&gt;",
    "&": "&amp;",
    "'": "&apos;",
    '"': "&quot;",
}

xml_special_chars_re = re.compile("({})".format("|".join(xml_special_chars)))

def escape_xml_special_chars(unescaped):
    return xml_special_chars_re.sub(lambda match: xml_special_chars[match.group(0)], unescaped)

所有的魔法都发生在re.sub()：参数repl 不仅接受字符串，还接受函数。

Answer 7

Andrey Vlasovskikh 接受的答案是对 OP 的最完整答案。但是这个主题出现在python escape xml 的最频繁搜索中，我想提供所讨论的三种解决方案的时间比较 在本文中，同时提供了我们选择部署的第四个选项，因为它提供了增强的性能。

这四个都依赖于原生 Python 数据处理或 Python 标准库。解决方案按性能从最慢到最快的顺序提供。

选项 1 - 正则表达式

此解决方案使用 python 正则表达式库。它产生最慢的性能：

import re
table = {
    "<": "&lt;",
    ">": "&gt;",
    "&": "&amp;",
    "'": "&apos;",
    '"': "&quot;",
}
pat = re.compile("({})".format("|".join(table)))

def xmlesc(txt):
    return pat.sub(lambda match: table[match.group(0)], txt)

>>> %timeit xmlesc('<&>"\'')
1.48 µs ± 1.73 ns per loop (mean ± std. dev. of 7 runs, 1000000 loops each)

仅供参考：µs 是微秒的符号，即百万分之一秒。另一个实现的完成时间以纳秒 (ns) 为单位，即十亿分之一秒。

选项 2 -- xml.sax.saxutils

此解决方案使用 python xml.sax.saxutils 库。

from xml.sax.saxutils import escape
def xmlesc(txt):
    return escape(txt, entities={"'": "'", '"': """})

>>> %timeit xmlesc('<&>"\'')
832 ns ± 4.3 ns per loop (mean ± std. dev. of 7 runs, 1000000 loops each)

选项 3 - str.replace

此解决方案使用字符串replace() 方法。在底层，它实现了与 python 的xml.sax.saxutils 类似的逻辑。 saxutils 代码有一个 for 循环，它会消耗一些性能，使这个版本稍微快一些。

def xmlesc(txt):
    txt = txt.replace("&", "&")
    txt = txt.replace("<", "&lt;")
    txt = txt.replace(">", "&gt;")
    txt = txt.replace('"', "&quot;")
    txt = txt.replace("'", "&apos;")
    return txt

>>> %timeit xmlesc('<&>"\'')
503 ns ± 0.725 ns per loop (mean ± std. dev. of 7 runs, 1000000 loops each)

选项 4 - str.translate

这是最快的实现。它使用字符串translate() 方法。

table = str.maketrans({
    "<": "&lt;",
    ">": "&gt;",
    "&": "&amp;",
    "'": "&apos;",
    '"': "&quot;",
})
def xmlesc(txt):
    return txt.translate(table)

>>> %timeit xmlesc('<&>"\'')
352 ns ± 0.177 ns per loop (mean ± std. dev. of 7 runs, 1000000 loops each)