大家写PHP程序都是如何处理用户里输入的HTML代码的？

Question

为了过滤HTML和JS代码，是在写库前调用还是读库时调用htmlspecialchars()？还是怎么样？

我想大声告诉你 · Answer

在防止XSS攻击时，一般建议使用htmlspecialchars函数，因为strip_tags虽然可以删除HTML标签，但是它不会删除"或'。因此就算你使用了strip_tags,仍然需要使用htmlspecialchars函数来过滤掉"或'

在表单提交或用户留言板里，如果你希望数据原始输出带浏览器，那么请使用htmlspecialchars函数，不要使用strip_tags函数。

曾经蜡笔没有小新 · Answer

基本都是存库的时候调用，入口杀手锏。