是否有必要从表单输入字段解码html实体?

时间:2015-03-27 17:48:50

标签: php forms html-entities html-encode

我有一个在输入字段中包含html实体的表单,如:

<input type="hidden" name="foo" value="<?php htmlspecialchars($foo) ?>" />

如果$foo接收&#34; <b>foo</b>&#34;之类的,那么当表单发布到PHP脚本时, $_POST['foo']的值已经被解码了...这是否意味着我不需要使用htmlspecialchars_decode$_POST['foo']转换回其原始格式$foo

感谢您对此问题的任何意见。

1 个答案:

答案 0 :(得分:1)

当涉及到用户输入时,代码非常具有防御性。永远不要做任何假设。虽然初始状态可能由服务器设置,但没有什么能阻止某人将隐藏输入的值操纵为恶意值。在这一点上,你负责任地处理这个价值,所以请确保你涵盖任何可能的情况。