Php Laravel setEscapedContentTags和setContentTags之间有什么区别?
为了更好地了解Laravel标记设置的工作原理,我尝试了以下方法:Php Laravel setEscapedContentTags和setContentTags之间有什么区别?,php,templates,laravel-5,Php,Templates,Laravel 5,为了更好地了解Laravel标记设置的工作原理,我尝试了以下方法: Blade::setContentTags('<x', 'x>'); Blade::setEscapedContentTags('<y', 'y>'); Blade::setRawTags('<z', 'z>'); Blade::setContentTags(“”); 刀片::setEscapedContentTags(“”); 刀片::setRawTags(“”); 在我的控制器构造函数
Blade::setContentTags('<x', 'x>');
Blade::setEscapedContentTags('<y', 'y>');
Blade::setRawTags('<z', 'z>');
Blade::setContentTags(“”);
刀片::setEscapedContentTags(“”);
刀片::setRawTags(“”);
<div>
<x 'test' x>
<y 'test' y>
<z 'test' z>
</div>
<div>
<?php echo e('test'); ?>
<?php echo e('test'); ?>
<?php echo 'test'; ?>
</div>
如您所见,为setContentTags和setEscapedContentTags指定的标记编译的代码看起来是相同的。那么为什么我们需要这两个选项呢?这是出于安全考虑。 默认情况下,
BladeBladeCompilere(%s)$echoFormate/**
* Escape HTML entities in a string.
*
* @param string $value
* @return string
*/
function e($value)
{
return htmlentities($value, ENT_QUOTES, 'UTF-8', false);
}
e/**
* Set the echo format to be used by the compiler.
*
* @param string $format
* @return void
*/
public function setEchoFormat($format)
{
$this->echoFormat = $format;
}
@常规标记和转义标记的内容返回不同的结果
用于查看参数
['str' => "<script>alert('name')</script>"]
['str'=>“警报('name')”]
带模板
<div>@{{ $str }}</div>
<div>@{{{ $str }}}</div>
<div>@{{"<a>Plain text</a>"}}</div>
<div>@{{{"<a>Plain text</a>"}}}</div>
@{{$str}
@{{{$str}}}
@{{“纯文本”}
@{{{“纯文本”}}
结果将是
<div>{{ $str }}</div>
<div>@<script>alert('name')</script></div>
<div>{{"<a>Plain text</a>"}}</div>
<div>@<a>Plain text</a></div>
{{$str}
@scriptalert(';name';)/script
{{“纯文本”}
@a主要文本/a
<div>{{ $str }}</div>
<div>@<script>alert('name')</script></div>
<div>{{"<a>Plain text</a>"}}</div>
<div>@<a>Plain text</a></div>