标签: php xss htmlspecialchars
我的网站中有一个可以存储项目的管理部分。存储后,它们将显示在前端。我的部分展示涉及以下代码:
echo "<p>".$rose['description']."</p>";
这是否需要在其中包含htmlspecialchars以保护低级别的xss?
答案 0 :(得分:2)
是的,当然,您应该在输出之前始终对用户输入进行处理,以防止XSS攻击。请记住,在输出之前应该清理用户输入,而不是在将其保存到数据库之前进行清理,因为您并不总是需要输出html