ThinkPHP在升级到5.1.7后，在模版输出上默认使用了htmlentities函数，和之前版本中默认采用的htmlspecialchars函数有区别。

最近给博客升级框架，由于从5.0过渡到5.1要修改的地方还蛮多的，加上之前一些代码在实际运行中略显低效，索性就把后端重构一下。把一些关键部位调整到位后刷新页面，发现原先用于输出备案信息的地方被转义输出成字符串了，印象中TP模版输出默认是使用htmlspecialchars函数的，既然能原样输出字符串，所以和后端改造的关联不大。

一，使用raw方法不进行转义输出。

TP最近升级的很是生猛，只好去翻下手册了，在模版章节，使用函数部分，TP给了这样一个说法：为了避免出现XSS安全问题，默认的变量输出都会使用 htmlentities 方法进行转义输出。如果不想被转义，那只需要在变量后面加上raw方法即可，如：{$anji|raw}

这个方法还是挺好用的，之前我都是这样{:htmlspecialchars_decode($page)}，现在改成{$page|raw}也可以

这个方法试了，发现没怎么管用，不知道哪出问题了

上述使用raw方法输出后的内容，由于写入的关系，有可能不转义输出的结果是变成了预定义的实体字符，如果要继续达到被html解析的普通字符效果，还需要在将实体字符转换成普通字符，前述我们在配置文件中定义得利htmlspecialchars过滤，那么就需要使用htmlspecialchars_decode函数进行转换。如{$anji|raw|htmlspecialchars_decode}

三，htmlentities()和htmlspecialchars()的区别。

一直用htmlspecialchars函数，htmlentities别说用了，一点印象都没有（汗，还是手册看少了）。特地去翻了下手册，htmlentities就是将所有字符转换为HTML实体，也就是全部转义输出。而htmlspecialchars是把预定义的字符转换为HTML实体。htmlspecialchars字符包括连接符（&）、双引号（"）、单引号（'）、小于（<）、大于(>)。如果需要把HTML实体再转换为字符，这两个函数都提供了一个decode函数分别是html_entity_decode()、htmlspecialchars_decode()，拼写有区别，前面是拆分html和entity加下划线后追加_decode的，而后者是直接补_decode后缀的。