---

HTML Escape คืออะไร?

HTML escaping แปลงอักขระพิเศษเช่น <, >, & เป็นเอนทิตี HTML (&lt;, &gt;, &amp;) สิ่งนี้ป้องกันการโจมตี XSS และทำให้แน่ใจว่าข้อความจะแสดงผลอย่างถูกต้องใน HTML โดยไม่ถูกตีความเป็นโค้ด

วิธีใช้เครื่องมือ HTML Escape

1. ป้อนข้อความที่คุณต้องการ escape

2. คลิกปุ่ม "Escape"

3. คัดลอก HTML ที่ escape แล้ว

4. ใช้อย่างปลอดภัยในเอกสาร HTML ของคุณ

เครื่องมือ HTML escape ฟรีนี้แปลงอักขระพิเศษเป็นเอนทิตี HTML เหมาะสำหรับนักพัฒนาที่ต้องแสดงโค้ด HTML อย่างปลอดภัยบนหน้าเว็บ

คำถามที่พบบ่อย

ทำไมฉันต้องหลีกเลี่ยง HTML? หากคุณแทรกเนื้อหาที่ไม่เชื่อถือได้โดยตรงลงใน HTML โดยไม่หลีกเลี่ยง ผู้ใช้อาจแทรกแท็ก <script> หรือตัวจัดการเหตุการณ์ เช่น onclick= เข้าไปในหน้าของคุณ สิ่งนี้เรียกว่า XSS (Cross-Site Scripting) และเป็นหนึ่งในช่องโหว่ความปลอดภัยเว็บที่พบบ่อยที่สุด การหลีกเลี่ยงจะทำให้อักขระใดๆ ที่สามารถตีความได้ว่าเป็น HTML เป็นกลาง

ความแตกต่างระหว่าง HTML escaping และ URL encoding คืออะไร? HTML escaping แทนที่อักขระด้วย HTML entities เพื่อการรวมอย่างปลอดภัยในมาร์กอัป HTML URL encoding (percent-encoding) แทนที่อักขระด้วยลำดับ %XX เพื่อการรวมอย่างปลอดภัยใน URLs ใช้ HTML escaping สำหรับเนื้อหา HTML และ URL encoding สำหรับพารามิเตอร์การค้นหา URL — พวกเขาให้บริการบริบทที่แตกต่างกัน

ฉันควรหลีกเลี่ยงข้อมูลป้อนเข้าของผู้ใช้ทั้งหมดหรือไม่? ใช่ — เมื่อข้อมูลนั้นจะแสดงผลเป็น HTML ตามกฎทั่วไป: หลีกเลี่ยงในเอาต์พุต ไม่ใช่ในอินพุต เก็บข้อมูลป้อนเข้าของผู้ใช้แบบดิบ และหลีกเลี่ยงเมื่อใดก็ตามที่คุณแสดงในบริบท HTML การหลีกเลี่ยงในอินพุตสามารถทำให้ข้อมูลที่จะใช้ในภายหลังในบริบทที่ไม่ใช่ HTML เสียหายได้

HTML escaping ป้องกันการฉีด SQL หรือไม่? ไม่ใช่ HTML escaping เพียงแต่ป้องกัน XSS ในบริบท HTML เพื่อป้องกันการฉีด SQL ให้ใช้คิวรี parameterized หรือประกาศที่เตรียมไว้ในเลเยอร์ฐานข้อมูลของคุณ บริบทที่แตกต่างกันต้องการกลยุทธ์การหลีกเลี่ยงที่แตกต่างกัน

Keywords: HTML escape, เอนทิตี HTML, ป้องกัน XSS, escape อักขระ HTML