為了過濾HTML和JS程式碼,是在寫函式庫前呼叫還是讀庫時呼叫htmlspecialchars()?還是怎麼樣?
我想大声告诉你2017-05-27 17:45:23
在防止XSS攻擊時,一般建議使用htmlspecialchars函數,因為strip_tags雖然可以刪除HTML標籤,但是它不會刪除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函數來過濾掉"或'
在表單提交或使用者留言板裡,如果你希望資料原始輸出帶瀏覽器,那麼請使用htmlspecialchars函數,不要使用strip_tags函數。
