Cha*_*rry 15 php escaping html-entities htmlspecialchars filter-var
放弃
这不是我们是否应该逃避数据库输入的问题.这严格关注标题中三个功能之间的技术差异.
有这个问题讨论的区别htmlentities()和htmlspecialchars().但是,它并没有真正讨论filter_var(),我在谷歌上找到的信息更像是"确保你在回应之前逃避用户输入!"
我的问题是:
htmlspecialchars()和htmlentities()常用的filter_var()? filter_var()? filter_var()不是像其他两个选项一样安全?echodfilter_var($var, FILTER_SANITIZE_FULL_SPECIAL_CHARS);
Ste*_*hen 10
我的猜测(关于缺乏采用)将仅仅是因为过滤器扩展仅在v5.2之后默认启用,而html*方法已经存在更长时间.