[英]Should I use ENT_QUOTES with htmlspecialchars or not
我使用php 5.4.4作為UTF-8運行,我不確定我是否正在使用htmlspecialchars。
我的字符串/變量看起來像這樣:
$text = "<p><span class='clx'>By:</span> ".htmlspecialchars($foo)."</span></p>";
echo $text;
我是否需要使用ENT_QUOTES
或者僅在必須ENT_QUOTES
某些內容時才需要
例如: href="$foo" or id='$foo'
?
Atm,om只在封閉的html標簽內使用htmlspecialchars而不是屬性。
只需將字符串內的var連接到<p>
標記和</p>
標記內
謝謝
在從數據庫中獲取數據並將其插入到html元素中時,通常應該使用它。 這是因為來自數據的引用不會關閉值引用並弄亂html。
簡答:總是。
答案很長:我強烈推薦閱讀OWASP的PHP Top 5和PHP Security Cheat Sheet
OWASP Top 5涵蓋了今天困擾PHP的五個最嚴重和最常見的安全漏洞:
它演示了常見的錯誤和解決方案,對於任何PHP開發人員甚至考慮托管實時網站都非常值得一讀。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.