好吧,我知道"正确"的转义将有助于防止SQL注入.
但我看到人们在HTML中逃避价值观
<input type="text" value =/"some/" /> <!-- some escaped, why? -->
问题是:为什么要在HTML中逃脱?
<input type="text" value =/"some/" /> <!-- some escaped, why? -->
这是一个语法错误.不要那样做.
使用字符引用来表示特殊字符(&,<,等).
为什么要在HTML中逃脱?
(假设您使用正确的语法来执行此操作):因为某些字符在HTML中具有特殊含义.例如,您不希望"(在数据中)过早地结束您的属性值,因为它可以: