Question

我在php中使用HTML代码，如下所示：

            echo '<span class="input-group-addon"><i class="glyphicon 
             glyphicon-pencil w3-large" name="topic_subject"> subject</i>
             </span>
              <br />
              <textarea name="post_content" id="editor1"></textarea>
              <br />
              <div class="w3-col s1 m1 l1"><p></p></div>
              <div class="w3-left">
              <button class = "w3-button w3-xlarge tableButtons w3-middle" 
              id="save">save</button>
               &nbsp;&nbsp;
              <a onclick="history.go(-1);" class="w3-button w3-xlarge 
               tableButtons w3-left">cancel</a>  
              </div>                   
              </form>';

我使用单引号然后我使用双引号而不是反斜杠来逃避。那是安全还是不安全？

Answer 1

确实安全，但不是因为你使用单引号。回显此字符串与创建普通html页面的结果相同。只要您知道输出的内容，从PHP输出html通常是安全的。

使用单引号确实在发布html字符串时提供了一个优势，那是因为使用单引号你不能在html中转义双引号。

如果您使用双引号，

例如：echo '<span class="input-group-addon">';将变为echo "<span class=\"input-group-addon\">";。

直接使用html表单中的数据进行查询或过滤是一个更大的风险，因为它很容易出现SQL注入。如需了解更多信息，请与an article on the PHP.net website联系，了解它是什么以及如何预防。

Answer 2

这应该是非常安全的，因为您只是输出代码。但是，如果您正在使用代码并将其存储在数据库中，则应使用 ~~mysql_real_escape_string()~~ http://php.net/manual/en/mysqlinfo.api.choosing.php。

为了清楚起见，这是一个非官方的意见，如果一些疯狂的新黑客出来，不要怪我！哈哈

当我在PHP代码中使用HTML代码时，它是否安全？

2 个答案: