好吧,我知道“正确”转义将有助于防止 SQL 注入。
但我看到人们在 HTML 中转义值
<input type="text" value =/"some/" /> <!-- some escaped, why? -->
问题是:为什么要在 HTML 中转义?
问问题
320 次
1 回答
5
<input type="text" value =/"some/" /> <!-- some escaped, why? -->
那是语法错误。不要那样做。
使用字符引用来表示特殊字符(&、、<等)。
为什么要在 HTML 中转义?
(假设您使用正确的语法来执行此操作):因为某些字符在 HTML 中具有特殊含义。例如,您不希望"(在数据中)过早地结束您的属性值,因为这样可以:
- 丢失数据
- 丢失数据但显示在页面中
- 允许第三方将他们的 JavaScript 注入您的页面并窃取数据/将人们重定向到网络钓鱼站点等
于 2012-06-19T08:03:20.783 回答