您如何有选择地应用 htmlentities？

Question

每当在 HTML 文档中显示文本时，出于多种原因，我总是将其置于 htmlentities 中。原因之一是如果文本包含 HTML，我希望浏览器显示 HTML 代码，而不是渲染它。

我正在编写的应用程序要求我仍然使用 htmlentities 进行编码，但需要保留超链接。

有没有办法使用现有功能有效地做到这一点，还是我需要实现这个功能？

Answer 1

• 您可以滚动自己的格式（或使用 bbcode、markdown 或其他格式）。

• 您可以解析 HTML（使用适当的库；请不要使用正则表达式）并有选择地保留所有 标记。

• 您可以使用正则表达式来允许使用类似于 HTML 的 -tag 语法，例如以

  的形式

  <a href="..."[ rel="..."]>...</a>
  

  但请记住，它不会是 HTML。 （对于初学者，HTML 允许在 href 之前指定 rel。）

另见this question；尤其是我的回答。

Answer 2

通常的方法是通过htmlspecialchars() 传递任何“可能有害的数据”，然后再将其显示为网页的一部分。您可以为用户的评论、注释等执行此操作。

对于用户输入的任何 URL，您可以使用 htmlspecialchars() 在屏幕上显示它。 URL 将按原样显示在屏幕上。 （任何& 都将转义为&，但当显示在屏幕上时，它将再次变为&。也许您关心的是何时链接它，如<a href="______">text</a>，在这种情况下您可以转义4 个字符：< > " '，因为您不希望将& 进一步转义为&，或者您可以使用filter_var() 清理网址：http://us3.php.net/manual/en/function.filter-var.php