标签: php javascript security xss
这是否取决于输入是否将打印给用户?在我的情况下,我需要将输入返回给用户(评论和生物)。
感谢!!!
答案 0 :(得分:18)
htmlspecialchars()足以阻止XSS。
htmlspecialchars()
条带标记会删除标记,但不会删除"或'等特殊字符,因此如果您使用strip_tags(),则还必须使用htmlspecialchars()。
"
'
strip_tags()
如果您希望用户的评论与他们输入的一样显示,请不要使用strip_tags,仅使用htmlspecialchars()。