Bagaimanakah semua orang menulis program PHP untuk memproses kod HTML yang dimasukkan oleh pengguna?

Question

Untuk menapis kod HTML dan JS, adakah htmlspecialchars() perlu dipanggil sebelum menulis perpustakaan atau semasa membaca perpustakaan? Atau apa?

Answer 1

Apabila menghalang serangan XSS, secara amnya disyorkan untuk menggunakan fungsi htmlspecialchars, kerana walaupun strip_tags boleh memadam tag HTML, ia tidak akan memadam " atau '. Oleh itu, walaupun anda menggunakan strip_tags, anda masih perlu menggunakan fungsi htmlspecialchars untuk menapis keluar " atau '

Dalam penyerahan borang atau papan mesej pengguna, jika anda mahu output asal data dihantar ke penyemak imbas, sila gunakan fungsi htmlspecialchars dan bukannya fungsi strip_tags.

Answer 2

Pada asasnya ia dipanggil apabila inventori ada dalam stok, yang merupakan kunci kepada kemasukan.