Wie schreibt jeder PHP-Programme, um den vom Benutzer eingegebenen HTML-Code zu verarbeiten?
PHPz2017-05-27 17:43:23
0
2
909
Sollte htmlspecialchars() vor dem Schreiben der Bibliothek oder beim Lesen der Bibliothek aufgerufen werden, um HTML- und JS-Code zu filtern? Oder was?
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
在防止XSS攻击时,一般建议使用htmlspecialchars函数,因为strip_tags虽然可以删除HTML标签,但是它不会删除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函数来过滤掉"或'
在表单提交或用户留言板里,如果你希望数据原始输出带浏览器,那么请使用htmlspecialchars函数,不要使用strip_tags函数。
基本都是存库的时候调用,入口杀手锏。