当输入中允许 html 实体时，如何防止它们的双重编码

Question

如何防止 html 实体的双重编码，或以编程方式修复它们？

我正在使用 HTML::Entities perl 模块中的encode() 函数进行编码用户输入中的 HTML 实体。这里的问题是，我们还允许用户直接输入 HTML 实体，而这些实体最终会被双重编码。

例如，用户可以输入：

Stackoverflow & Perl = Awesome…

这最终被编码为

Stackoverflow & Perl = Awesome…

这在浏览器中呈现为

Stackoverflow & Perl = Awesome…

我们希望它呈现为

Stackoverflow & Perl = Awesome...

有没有办法防止这种双重编码？或者是否有一个模块或代码片段可以轻松纠正这些双重编码问题？

非常感谢任何帮助！

Answer 1

您可以先解码字符串：

my $input = from_user();

my $encoded = encode_entities( decode_entities $input );

Answer 2

有一个非常简单的方法可以避免这种情况：

1. 在输入时删除所有实体（将它们转换为 Unicode）
2. 在输出阶段再次编码为实体。

Answer 3

请考虑保存对 encode() 的调用，直到检索要显示的值为止，而不是在存储它之前。只要您的检索机制保持一致，数据库中的额外数据可能就不值得担心。

编辑

重新阅读您的问题，我现在意识到我的答案并没有完全解决问题，因为稍后调用 encode() 仍会得到相同的结果。我自己不知道替代方案，它可能没有太大帮助，但您可能需要考虑寻找一种更合适的编码方法来尊重现有符号。