这是否取决于输入是否要打印给用户?在我的例子中,我需要将输入返回给用户(评论和简介)。
谢谢!!!
最佳答案
htmlspecialchars()
足以防止 XSS。
Strip tags 删除标签但不删除特殊字符,如 "
或 '
,因此如果您使用 strip_tags()
,您还必须使用 htmlspecialchars()
。
如果您希望用户的评论像他们输入的一样显示,请不要使用 strip_tags,仅使用 htmlspecialchars()。
关于php - 我应该同时使用 striptags() 和 htmlspecialchars() 来防止 XSS 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7232793/