Superglobals和htmlentities

时间:2015-12-14 00:58:14

标签: php html-entities superglobals

我正在读关于超级全球和安全的信息。作为一个“规则”,我对所有输入使用 htmlentities(),并且对于

$_SERVER['HTTP_REFERER']; 
$_SERVER["REQUEST_METHOD"];
$_POST['thename'];
$_GET['thename'];

但是因为我是一个新手我不知道我是否必须将它与一些或所有其他超级全球使用。我不知道安全性,也许,有人可以做“某事” “放置(或改变)恶意代码。

我是否只能将它用于那些?还是其他人要考虑?

非常感谢。

我要求以良好的方式学习。

1 个答案:

答案 0 :(得分:0)

请勿使用htmlentities(),请使用htmlspecialchars()

只要有一些应插入HTML的纯文本,就可以使用该函数。这无一例外 - 总是这样做。它首先与安全性无关,它只是实现正确文本输出的方式。

您应该使用的其他功能:urlencode()rawurlencode()