0

例如,如果我使用$id= $_GET['id'];然后我将其$id用作 if 语句的条件,我是否必须在 htmlspecialchars 上使用$id

例如

$id = htmlspecialchars($_GET['id']);

if($id) {
//code
}

是否需要 htmlspecialchars,即使没有输出 html?

4

1 回答 1

3

不需要。如果您将数据输出到 HTML 上下文中,您只需要对数据进行 HTML 转义,并且数据可能包含在 HTML 中具有特殊含义的字符(例如<, >, ")并且您不希望这些字符破坏您的 HTML 结构.

另请参阅伟大的逃避现实(或:使用文本中的文本您需要知道的内容)

于 2012-07-03T09:20:26.867 回答