<?php
$source = @$_GET['htmlsc'];
$source = mb_convert_encoding($source, 'UTF-7');
$source = htmlspecialchars($source); //defaults to ISO-8859-1
header('Content-Type: text/html;charset=UTF-8');
echo '<html><body><img src=' . $source . '></body></html>';
?>
这可以防止使用=#&lt;等字符&GT; ; &#34; 我尝试过很多东西,但都没有用。最大的问题是我不允许使用等号。有没有我错过的东西和XSS是可能的?提前谢谢。