我是否應該使用ENT_QUOTES和htmlspecialchars
[英]Should I use ENT_QUOTES with htmlspecialchars or not
問題描述
我使用php 5.4.4作為UTF-8運行,我不確定我是否正在使用htmlspecialchars。
我的字符串/變量看起來像這樣:
$text = "<p><span class='clx'>By:</span> ".htmlspecialchars($foo)."</span></p>";
echo $text;
我是否需要使用ENT_QUOTES或者僅在必須ENT_QUOTES某些內容時才需要
例如: href="$foo" or id='$foo' ?
Atm,om只在封閉的html標簽內使用htmlspecialchars而不是屬性。
只需將字符串內的var連接到<p>標記和</p>標記內
謝謝
2 個解決方案
解決方案1
5 已采納 2014-01-16 20:21:01
在從數據庫中獲取數據並將其插入到html元素中時,通常應該使用它。 這是因為來自數據的引用不會關閉值引用並弄亂html。
解決方案2
5 2014-01-16 20:35:26
簡答:總是。
答案很長:我強烈推薦閱讀OWASP的PHP Top 5和PHP Security Cheat Sheet
OWASP Top 5涵蓋了今天困擾PHP的五個最嚴重和最常見的安全漏洞:
- 遠程執行代碼
- 跨站點腳本(XSS)[一個htmlspecialchars試圖阻止]
- SQL注入
- PHP配置
- 文件系統攻擊
它演示了常見的錯誤和解決方案,對於任何PHP開發人員甚至考慮托管實時網站都非常值得一讀。
我可以使用htmlspecialchars($ email,ENT_QUOTES,'UTF-8')代替filter_sanitize_email()
[英]Can I use htmlspecialchars($email, ENT_QUOTES, 'UTF-8') instead of filter_sanitize_email()
當使用htmlspecialchars來轉義雙引號時,為什么在使用ENT_SUBSTITUTE時需要ENT_QUOTES?
[英]when using htmlspecialchars to escape double-quotes, why is ENT_QUOTES required when using ENT_SUBSTITUTE?
如何為php中的htmlentities()函數默認設置ENT_QUOTES標志
[英]How to set ENT_QUOTES flag by default for htmlentities() function in php
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
htmlspecialchars&ENT_QUOTES不工作?
我可以使用htmlspecialchars($ email,ENT_QUOTES,'UTF-8')代替filter_sanitize_email()
當使用htmlspecialchars來轉義雙引號時,為什么在使用ENT_SUBSTITUTE時需要ENT_QUOTES?
在數組上應用htmlentities ENT_QUOTES
PHP的ent_quotes例外 <br> 和 <ar>
PHP換行符br與ENT_QUOTES
如何為php中的htmlentities()函數默認設置ENT_QUOTES標志
帶有 ENT_QUOTES 和 UTF-8 的 htmlentities 有什么作用?
我應該使用htmlspecialchars嗎?
htmlspecialchars ENT_NOQUOTES不起作用?
相關標簽