的确如此,但是这种逃避级别可能并不适合所有情况。如果要将HTML存储在数据库中怎么办?
最佳实践表明,显示值时应转义它们,而不是逃避接收值。这样,您就可以考虑同时显示数据库中的HTML和数据库中的非HTML,无论如何,这实际上就是逻辑上属于这种代码的地方。
清理传出HTML的另一个好处是,可能会发现一个新的攻击媒介,在这种情况下,清理传入HTML不会对数据库中已有的值做任何事情,而传出清理将追溯应用,而无需执行任何特殊 *** 作
另外,请注意
strip_tags,如果所有
<和
>都变为
<和,则在您的第一个函数中可能无效
>。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)