php - 使用 xss_clean 剥离 Codeigniter php 标签

Question

为什么如果我传递 a$_POST['string'] = "<?php echo 'hey' ?>"然后我将它传递给 xss_clean() 并带有 echo$this->input->post('string',true);它输出为 <?php echo 'hey' ?>而不是 输出<?php echo 'hey' ?>？

Answer 1

如果您查看源代码，您会发现 xss_clean 方法做了很多繁重的工作。这不仅仅是一个htmlspecialchars()电话。如果您想在页面中显示 php 代码，我会先对其进行转换，然后对其进行清理。