是否有内置函数可以将 ' 等字符呈现为身份 (') ?
另外,在 html 中输出原始字符(例如 ')是否不安全?
谢谢。
问问题
816 次
2 回答
3
尝试htmlentities():
htmlentities("'", ENT_QUOTES, 'UTF-8', true);
关于你的第二个问题,是的(作为一般规则)。
要输出用户输入/原始输入,您应该htmlspecialchars()至少使用。
于 2010-01-22T17:03:06.200 回答
2
您正在寻找htmlentities()。它将翻译任何具有等效 HTML 字符实体的字符。
在 HTML 中输出原始字符并不是不安全的,尽管有一些警告:
- 如果您在文档实体或属性中输出它们,它可能会产生无效的 HTML。
- 如果是用户输入,则需要对其进行清理以防止可能的跨站点脚本 (XSS) 攻击。
于 2010-01-22T17:05:14.467 回答