1

「正しい」エスケープはSQLインジェクションの防止に役立つことを私は知っています。

しかし、私は人々がHTMLの値をエスケープしているのを見ました

<input type="text" value =/"some/" /> <!-- some escaped, why? -->

質問は:なぜHTMLでエスケープするのですか?

4

1 に答える 1

5

<input type="text" value =/"some/" /> <!-- some escaped, why? -->

これは構文エラーです。そうしないでください。

特殊文字 ( 、 など) を表すには、文字参照を使用します&amp;&lt;

なぜ HTML でエスケープするのですか?

(正しい構文を使用すると仮定します): 一部の文字は HTML で特別な意味を持つためです。たとえば、次のことができるため、"(データ内で) 属性値を時期尚早に終了させたくありません。

  • データを失う
  • データを失うが、ページに表示する
  • 第三者があなたのページに JavaScript を挿入し、データを盗んだり、ユーザーをフィッシング サイトにリダイレクトしたりできるようにします。
于 2012-06-19T08:03:20.783 に答える