我需要阻止XSS,但现在不使用htmlspecialchars / htmlspecialchars_decode我使用str_replace
这段代码是好还是不完整?
$secret = str_replace('<', '', $secret);
$secret = str_replace('>', '', $secret);
由于
答案 0 :(得分:1)
Filter_var优于您当前的代码:
filter_var($secret, FILTER_SANITIZE_SPECIAL_CHARS);
FILTER_SANITIZE_SPECIAL_CHARS:HTML-escape '"<>&和ASCII值小于32的字符,可选地删除或编码其他特殊字符。