声明
这不是关于我们是否应该逃避数据库输入的问题。这严格关注标题中三个函数之间的技术差异。
有this question讨论htmlentities()
和htmlspecialchars()
之间的区别。但是,它并没有真正讨论filter_var()
,而我在Google上发现的信息更像是“确保在回复之前逃避用户输入!”
我的问题是:
htmlspecialchars()
和htmlentities()
常用于filter_var()
? filter_var()
会对性能造成影响吗? filter_var()
不如其他两个选项安全吗?echod
filter_var($var, FILTER_SANITIZE_FULL_SPECIAL_CHARS);
答案 0 :(得分:9)
我的猜测(关于缺乏采用)将仅仅是因为过滤器扩展仅在v5.2之后默认启用,而html *方法已经存在更长时间。