たとえば、if ステートメントの条件として$id= $_GET['id'];使用し、それを使用$idする場合、htmlspecialchars を使用する必要があり$idますか?
例えば
$id = htmlspecialchars($_GET['id']);
if($id) {
//code
}
html が出力されていない場合でも、htmlspecialchars は必要ですか?
1 に答える
3
いいえ。データを HTML コンテキストに出力する場合にのみ、データを HTML エスケープする必要があり、データに HTML で特別な意味を持つ文字 ( 、など)が含まれている可能性があり、これらの文字が HTML 構造を壊したくない場合にのみ必要です。 .<>"
The Great Escapism (または、テキスト内のテキストを操作するために知っておくべきこと)も参照してください。
于 2012-07-03T09:20:26.867 に答える