[請益] htmlspecialchars的使用時機

作者a613204 (胖胖)

看板PHP

標題[請益] htmlspecialchars的使用時機

時間Sun Jan 17 16:57:59 2010

不好意思想請問一下 htmlspecialchars , htmlentities , strip_tags() 這些函數的使用時機我知道他們將特殊字元轉成 HTML 的字串格式不過不知道是在什麼情況會用到?? 我弄了一個留言板在新增&<>這些符號不用用到這些函式,存進資料庫或者是顯示都沒有問題有人可以解釋一下嗎 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.25.158.38

→ arrack:不讓USER使用HTML語法的時候 01/17 17:11

→ arrack:不然你顯示出來都會變成HTML你可以打<script>alert('test') 01/17 17:12

→ arrack:</script>之類的就知道了 01/17 17:13

推 RuiYuan52:可以做到基本的XSS防禦 input->output中間可用來消毒 01/18 00:07

→ RuiYuan52:hentity會針對整個字串,hspec.是特定字元才做如< > 01/18 00:09

→ RuiYuan52:中文網頁時建議使用hspeci.才不會整個字串變亂碼 01/18 00:10