我有一个用户输入字段,它将存储在 MySQL 数据库中的“tinytext”字段中;很标准的东西。我想知道在使用 php 函数转义 html 特殊字符时是否需要遵守某种标准或最佳实践htmlentities()
?
我应该htmlentities()
在将数据存储到数据库之前使用,还是应该在每次从网站输出数据时对数据运行该函数?
我有一个用户输入字段,它将存储在 MySQL 数据库中的“tinytext”字段中;很标准的东西。我想知道在使用 php 函数转义 html 特殊字符时是否需要遵守某种标准或最佳实践htmlentities()
?
我应该htmlentities()
在将数据存储到数据库之前使用,还是应该在每次从网站输出数据时对数据运行该函数?
通常没有理由再使用htmlentities()
了。只需将所有内容存储在 UTF-8 字段中,并始终坚持UTF-8。
将不安全的用户输入输出为 HTML 时htmlspecialchars()
,最好在输出时使用 , 以便您拥有原始数据的副本。