标签: security html-escape-characters
在输出之前转义用户生成的内容时,有哪些字符是必需的并且足够? (换句话说:在输出以前来自不受信任的匿名来源的文本时,Web开发人员应该逃脱的角色是什么?)
答案 0 :(得分:6)
当回显到某个页面时,你应该编码
'&安培;' (&符号)变为'&' '“'(双引号)变为'"' '''(单引号)变为“'” '&LT;' (小于)成为'<' '&GT;' (大于)变为“>”
&
"
'
<
>
来自PHP的htmlspecialchars() docs。
htmlspecialchars()
请注意,context也很重要。
您还需要考虑字符集。
答案 1 :(得分:0)
我认为逃避< > & " '符号对任何情况都应该足够了。
< > & " '