嗯,我知道“正确”的转义将有助于防止SQL注入。
但是我看到人们在HTML中转义值
<input type="text" value =/"some/" /> <!-- some escaped, why? -->
问题是: 为什么要在HTML中转义?
答案 0 :(得分:5)
<input type="text" value =/"some/" /> <!-- some escaped, why? -->
这是语法错误。不要那样做。
使用character references代表特殊字符(&,<等)。
为什么要在HTML中转义?
(假设您使用正确的语法来执行此操作):因为某些字符在HTML中具有特殊含义。例如,您不希望"(在数据中)过早地结束您的属性值,因为它可以: