kwi*_*chz 4 html php escaping html-entities
我想知道在html textarea上打印之前是否真的有必要用htmlentities($ str,ENT_QUOTES,"UTF-8")来逃避我的字符串.
或者自动这个人为我逃脱了角色?
Pek*_*ica 16
是的,这是必要的.
否则,</textarea>输入数据中的a会弄乱你的标记.
<textarea> <--------------------------- Your tag
</textarea> <------------------------ User input
<script>alert("Hello!");</script> <-- User input, XSS injection
</textarea> <-------------------------- Your tag