PHPerKaigi 2025

Escapando o HTML

Tudo fora de um par de tags de abertura e fechamento é ignorado pelo interpretador PHP, o que permite que arquivos PHP tenham conteúdo misto. Isso permite que o PHP seja incluído em documentos HTML, por exemplo, para criar templates.

<p>Isso será ignorado pelo PHP e exibido pelo navegador.</p>
<?php echo 'Enquanto isto vai ser interpretado.'; ?>
<p>Isso também será ignorado pelo PHP e exibido no navegador.</p>
Isso funcionará como esperado, porque quando o interpretador PHP encontra a tag de fechamento ?>, ele simplesmente começa a repassar o que quer que encontre (exceto a nova linha imediata, veja a seção sobre separação de instruções), até encontrar outra tag de abertura, a menos que esteja no meio de uma declaração condicional, caso em que o interpretador determinará o resultado da condicional antes de decidir qual caminho tomar. Veja o próximo exemplo.

Usando estruturas com condições

Exemplo #1 Escape avançado usando condições

<?php if ($expression == true): ?>
Isso irá aparecer se a expressão for verdadeira.
<?php else: ?>
Senão isso irá aparecer.
<?php endif; ?>
Neste exemplo, o PHP pulará os blocos onde a condição não for satisfeita, mesmo que os trechos de código estejam fora das tags de abertura e fechamento do PHP, pois o interpretador PHP pulará os blocos contidos em uma condição que não foi satisfeita.

Para imprimir grandes blocos de texto, sair do modo de interpretação do PHP é geralmente mais eficiente do que enviar todo o texto usando echo ou print.

Nota:

Se o PHP for incluído no XML ou XHTML, as tags normais <?php ?> devem ser usadas para manter a conformidade com os padrões.

adicione uma nota

Notas Enviadas por Usuários (em inglês) 3 notes

up
404
quickfur at quickfur dot ath dot cx
14 years ago
When the documentation says that the PHP parser ignores everything outside the <?php ... ?> tags, it means literally EVERYTHING. Including things you normally wouldn't consider "valid", such as the following:

<html><body>
<p<?php if ($highlight): ?> class="highlight"<?php endif;?>>This is a paragraph.</p>
</body></html>

Notice how the PHP code is embedded in the middle of an HTML opening tag. The PHP parser doesn't care that it's in the middle of an opening tag, and doesn't require that it be closed. It also doesn't care that after the closing ?> tag is the end of the HTML opening tag. So, if $highlight is true, then the output will be:

<html><body>
<p class="highlight">This is a paragraph.</p>
</body></html>

Otherwise, it will be:

<html><body>
<p>This is a paragraph.</p>
</body></html>

Using this method, you can have HTML tags with optional attributes, depending on some PHP condition. Extremely flexible and useful!
up
77
ravenswd at gmail dot com
15 years ago
One aspect of PHP that you need to be careful of, is that ?> will drop you out of PHP code and into HTML even if it appears inside a // comment. (This does not apply to /* */ comments.) This can lead to unexpected results. For example, take this line:

<?php
$file_contents
= '<?php die(); ?>' . "\n";
?>

If you try to remove it by turning it into a comment, you get this:

<?php
// $file_contents = '<?php die(); ?>' . "\n";
?>

Which results in ' . "\n"; (and whatever is in the lines following it) to be output to your HTML page.

The cure is to either comment it out using /* */ tags, or re-write the line as:

<?php
$file_contents
= '<' . '?php die(); ?' . '>' . "\n";
?>
up
27
sgurukrupa at gmail dot com
10 years ago
Although not specifically pointed out in the main text, escaping from HTML also applies to other control statements:

<?php for ($i = 0; $i < 5; ++$i): ?>
Hello, there!
<?php endfor; ?>

When the above code snippet is executed we get the following output:

Hello, there!
Hello, there!
Hello, there!
Hello, there!
To Top