我在商业平台上观看了一个php登录教程,建议在密码字符串上使用htmlentities()
,这是通过POST-Method提供的。
由于密码永远不会显示,使用此功能是不是因为它改变了用户输入的密码?我知道这只会影响html代码但不使用该功能真的不安全,因为密码永远不会显示?
答案 0 :(得分:4)
您使用htmlentities
进行任何操作的唯一时间是您是否以及何时将数据输出到HTML中。 E.g:
<p><?php echo htmlentities($data); ?></p>
在任何其他上下文中,HTML实体通常是无用的*并且只会伪装/更改/破坏您的数据。实际上,在密码上使用密码,可能不在任何HTML上下文中,这是非常可疑的。
*是的,您可以在某处找到一些专门的用例...