[英]htmlentities or htmlspecialchars or stripslashes? Which one to use?
[英]Is it redundant to use htmlspecialchars for input then use htmlentities on output?
有人告訴我,我的數據庫輸出是根據' " <
等輸出進行兩次轉義的' " <
' " <
因此,是將htmlspecialchars($content_to_escape, ENT_QUOTES)
插入,然后echo htmlentities($content_to_echo);
多余?
將輸入存儲在給定的數據庫內部。
(可選)您可以驗證輸入服務器端以禁止某些字符。 例如,對於街道名稱,您可能只允許使用字母數字和-
, <space>
和'
字符。
但是,為防止XSS,應將重點放在輸出編碼上。 每次輸出時都使用HTML編碼功能。 當您需要輸出到另一個上下文(例如,用於JavaScript的十六進制實體編碼,JSON編碼等)時,將原始輸入存儲在數據庫中會使事情變得更加簡單(從而更加安全)。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.