当您尝试打印未过滤的变量时,出现跨站点脚本(xss)
只是他可以使用像这样的javascript代码<script>alert(1)</script>
以及任何其他 html 或 js 代码
为了保护它,我认为你可以使用
htmlspecialchars() , htmlentites() , strip_tags()
但是只有在magic_quotes关闭并且变量在链接上时才能绕过htmlspecialchars
这里可以使用onmouseout='alert(1)'
或类似的东西
有测试和防御的方法
此致