我有一个用户输入字段,它将存储在 MySQL 数据库中的“tinytext”字段中;很标准的东西。我想知道在使用 php 函数转义 html 特殊字符时是否需要遵守某种标准或最佳实践htmlentities()?
我应该htmlentities()在将数据存储到数据库之前使用,还是应该在每次从网站输出数据时对数据运行该函数?
问问题
53 次
1 回答
3
通常没有理由再使用htmlentities()了。只需将所有内容存储在 UTF-8 字段中,并始终坚持UTF-8。
将不安全的用户输入输出为 HTML 时htmlspecialchars(),最好在输出时使用 , 以便您拥有原始数据的副本。
于 2012-08-08T10:43:47.753 回答