0

我做了一个功能来打印来自 id 页面的所有评论。但我想保护我的网站免受 htmlspecialchars 的攻击。所以我把它们放在我将要打印的帖子周围。问题是它不起作用?我可以用 <> 符号做任何我想做的事情。

代码功能

public function GetAllComments($id)
            {
                    $db = new Db();

                $select = "SELECT * FROM tblcomments WHERE bug_id =" . $id . " ORDER BY comment_id DESC";
                $result = $db->conn->query($select);
                while($row = mysqli_fetch_assoc($result))
                {

                    echo "<li class='description'>" . htmlspecialchars($row["comment_text"]) . "</li>";
                    echo "<li class='user'>" . $row['name']  . "</li>";

                }
            }

代码打印

if(isset($bugs)){ foreach ($bugs as $bug) {

回声“

  • " . $bug['bug_title'] . "" . $bug['bug_status'] . "发件人:" .$bug['name'] 。"
    收件人:" .$bug['bug_to'] 。"
    项目: " . $bug['project_title'] . "";
    } }

    4

    1 回答 1

    0

    取决于你想从中保存什么,你应该像这样使用 htmlspecialchars

    htmlspecialchars(trim($variable), ENT_QUOTES);
    于 2013-05-20T17:03:30.490 回答