当字符串包含 & 符号时，在值末尾添加额外的分号

Question

我正在使用 Codeginiter，并且在使用 & 符号时看到字符串末尾添加了一个分号。见下文。顺便说一句，我正在将值存储到 MySQL 数据库中。

在将值插入数据库之前，我正在使用 htmlspecialchars 。

$this->form_validation->set_rules('item_name','description','trim|required|min_length[3]|xss_clean');       

这有效：

$string = "you & I";
// Displays "you & i"

这会在 DB 中附加一个分号：

$string = "you&i";   
// Displays "you&i;"

Answer 1

您正在使用 CI 的 xss_clean “功能”，但该功能刚刚被破坏。如果您在某处应用了 xss_clean，请不要指望您的数据会保留下来。

相反，禁用它，一切都会好起来的。

然后适当过滤您的数据。 CodeIgniter 文档中实际使用 xss_clean 的建议只是误导性的。小心。

Answer 2

我认为这是因为 &i 被解释为实体。我建议您将所有 html 特殊字符（如 &、<、> 等）转换为各自的 html 实体。在 php 中，您可以使用 htmlspecialchars 和 htmlentities 函数。

Answer 3

在将数据保存到数据库之前，POST 数据已经被污染。

顺便说一句，我也在使用 CI 框架。

示例，客户端发布数据
Cow&Gate/英国牛栏
使用普通形式的 post 方法，你会在 PHP 服务器端得到什么？

你会得到
Cow&Gate;/英国牛栏
奇怪的是，添加了分号

如果您使用 XML（或 ajax 或 jquery）发布数据，则可以在将数据发布到服务器之前使用 javascript 中的 encodeURIComponent 方法对数据进行编码，然后您将不需要在 PHP 服务器端做任何额外的工作。

像这样：
$.post('http-server-API', {"field":encodeURIComponent('Cow&Gate/英国牛栏')})

检查 PHP 服务器端的 $_POST 参数（无分号）将被添加）