こんにちは、htmlspecialchars() を使用する適切な場所はいつなのか疑問に思っていました。データベースにデータを挿入する前ですか、それともデータベースからデータを取得するときですか?
16106 次
4 に答える
33
データを HTML にエコーする場合にのみ、このメソッドを呼び出す必要があります。
エスケープされた HTML をデータベースに保存しないでください。クエリが煩わしくなるだけです。
データベースは、HTML 表現ではなく、実際のデータを保存する必要があります。
于 2011-02-03T03:14:31.287 に答える
19
htmlspecialchars HTML 内でコンテンツを出力するたびに使用するため、HTML ではなくコンテンツとして解釈されます。
コンテンツを HTML として扱うことを許可すると、少なくともバグへの扉が開かれただけであり、最悪の場合、XSS ハッキングが完全に発生します。
于 2011-02-03T03:15:31.013 に答える
4
ユーザーがデータベースに入力した内容を正確に保存します。それをパブリックに表示するときは、を使用htmlspecialchars()して、xss 保護を提供します。
于 2011-02-03T03:20:34.287 に答える