1. Home
  2. Tutoriais
  3. PHP
  4. Voltar para Funções e Métodos
  5. htmlentities()

Convertendo caracteres especiais em entidades HTML com htmlentities() no PHP

A função htmlentities() no PHP converte caracteres especiais em entidades HTML, o que ajuda a proteger sua aplicação contra ataques de XSS.

Neste tutorial:

Como funciona a função htmlentities() no PHP

A função htmlentities() no PHP converte caracteres especiais em suas entidades HTML equivalentes. Isso é importante para prevenir ataques de Cross-Site Scripting (XSS), onde um atacante pode injetar scripts maliciosos em páginas web. Sua sintaxe básica é:

$nova_string = htmlentities($string, $flag, $encoding);

Exemplo básico

Se você tem uma string com caracteres especiais e deseja exibi-la com segurança, sem permitir que eles sejam interpretados como HTML ou JavaScript, pode usar htmlentities(). Exemplo:

$texto = '<script>alert("Hackeado!")</script>';
$texto_escapado = htmlentities($texto);
echo $texto_escapado; // Saída: &lt;script&gt;alert(&quot;Hackeado!&quot;)&lt;/script&gt;

Aqui, os caracteres especiais <, >, " e ' são convertidos para suas entidades HTML correspondentes, impedindo a execução de código malicioso.

Parâmetros adicionais

A função htmlentities() também aceita dois parâmetros adicionais:

  • O primeiro parâmetro é a string a ser escapada.
  • O segundo parâmetro ($flag) define como as aspas serão tratadas. O valor ENT_QUOTES converte tanto as aspas simples quanto as duplas.
  • O terceiro parâmetro ($encoding) define a codificação de caracteres a ser usada. O recomendado é usar UTF-8 para garantir que caracteres especiais sejam tratados corretamente.

Usando em entradas de usuários

Quando você estiver lidando com entradas de dados de usuários, é essencial usar htmlentities() para evitar que código HTML ou JavaScript malicioso seja executado. Exemplo de uso em um formulário de comentários:

$comentario = '<b>Texto malicioso</b>';
$comentario_escapado = htmlentities($comentario);
echo $comentario_escapado; // Saída: &lt;b&gt;Texto malicioso&lt;/b&gt;

Aqui, a tag HTML <b> é convertida em &lt;b&gt;, impedindo que o código seja interpretado como HTML. Isso é essencial para evitar injeções de código.

Aplicações práticas

A função htmlentities() é frequentemente usada para garantir a segurança de uma aplicação web. Sempre que você estiver exibindo texto dinâmico que pode conter caracteres especiais, como entradas de usuários, comentários ou dados de formulários, use htmlentities() para evitar vulnerabilidades de XSS. Exemplo de uso para processar dados de um campo de comentário de usuário:

$comentario = '<script>alert("Hackeado!")</script>';
$comentario_escapado = htmlentities($comentario, ENT_QUOTES, 'UTF-8');
echo $comentario_escapado; // Saída: &lt;script&gt;alert(&quot;Hackeado!&quot;)&lt;/script&gt;

Aqui, além de escapar os caracteres especiais, especificamos ENT_QUOTES para garantir que tanto aspas simples quanto duplas sejam escapadas corretamente.

Conclusão

A função htmlentities() é fundamental para proteger sua aplicação contra ataques de XSS, pois garante que qualquer entrada de usuário contendo caracteres especiais seja tratada como texto e não como código HTML. Usar essa função ao exibir dados fornecidos por usuários é uma boa prática de segurança que deve ser aplicada em qualquer site ou aplicação web que manipule entradas dinâmicas.

Como proteger sua aplicação de XSS com htmlentities() no PHP

Em desenvolvimento web, a segurança é crucial, especialmente quando se lida com dados de usuários. O Cross-Site Scripting (XSS) é um ataque comum onde o invasor injeta scripts maliciosos em páginas web. Para prevenir esse tipo de ataque, a função htmlentities() é indispensável, pois ela converte caracteres especiais em suas entidades HTML correspondentes, impedindo que o navegador execute qualquer código malicioso. Quando você estiver exibindo dados que podem conter caracteres especiais ou conteúdo HTML, como entradas de formulários, sempre use htmlentities() para garantir que o conteúdo seja exibido corretamente sem risco de execução de scripts.

Algumas aplicações:

  • Prevenir ataques de XSS ao exibir entradas de usuários em páginas HTML.
  • Usar em sistemas de comentários, formulários ou qualquer funcionalidade onde os usuários fornecem dados que serão exibidos.
  • Proteger seu site de código HTML ou JavaScript malicioso inserido por usuários em campos de entrada.
  • Escapar caracteres especiais ao exibir conteúdo dinâmico, como mensagens ou resultados de pesquisa.

Dicas para quem está começando

  • Use htmlentities() sempre que for exibir dados inseridos por usuários em páginas web.
  • Sempre que você estiver exibindo código HTML ou JavaScript, use htmlentities() para evitar que ele seja executado no navegador.
  • Certifique-se de usar UTF-8 como codificação de caracteres para garantir que todos os caracteres sejam escapados corretamente.
  • Ao trabalhar com formulários ou comentários de usuários, nunca confie em dados sem sanitização e escapamento adequados.

Contribuições de Cláudia Medeiros

Compartilhe este tutorial: htmlentities()

Compartilhe este tutorial

Continue aprendendo:

htmlspecialchars()

A função htmlspecialchars() no PHP converte caracteres especiais em entidades HTML, evitando problemas de segurança como injeções de código.

Tutorial anterior

strip_tags()

A função strip_tags() no PHP remove tags HTML e PHP de uma string, tornando o conteúdo mais seguro e adequado para exibição.

Próximo tutorial
Voltar para Funções e Métodos