3
我想知道它是否真的有必要在html textarea上打印之前用htmlentities($ str,ENT_QUOTES,“UTF-8”)转义我的字符串。但是我真的需要textarea上的htmlentities吗?
或自动这个逃脱我的角色?
A
回答
15
是的,这是必要的。
否则,输入数据中的</textarea>会混淆您的标记。
<textarea> <--------------------------- Your tag
</textarea> <------------------------ User input
<script>alert("Hello!");</script> <-- User input, XSS injection
</textarea> <-------------------------- Your tag
4
textarea元素被定义为包含PCDATA,所以标签不被允许在里面,实体仍然被解码。
浏览器将执行错误更正,但错误更正是首先不存在错误的可靠替代品。
某些错误不会被纠正(因为它们不是语法错误),例如当您希望数据为<或</textarea>时。
即使您决定某些错误对您而言可接受,那么当您使用验证程序执行基本QA时,您将产生噪音,从而可能会掩盖您关心的错误。
所以总之,是的,有必要转义具有特殊含义的字符。但是,只要你的字符编码是直的,htmlspecialchars就足够了。
相关问题
- 1. 我真的需要bindParam吗?
- 2. 我真的需要MVVM吗?
- 3. css BEM - 我们真的需要E吗?
- 4. 我真的需要做mysql_close()吗?
- 5. 我们真的需要Automapper吗?
- 6. Portal:我真的需要一个Portal吗?
- 7. c#vb:我们真的需要System.Lazy吗?
- 8. 我真的需要写这个“SerializationHelper”吗?
- 9. 我真的需要服务层吗?
- 10. 我真的需要散列密码吗?
- 11. 是:悬停真的需要cusor吗?
- 12. htmlentities和json_encode,如果使用json_encode转义数据,我需要使用htmlentities吗?
- 13. Subversion *真的需要ActivePython吗?
- 14. GLSL Renderbuffer真的需要吗?
- 15. 防止SQL注入:mysql_real_escape_string()真的是我需要的吗?
- 16. jBPM是我需要的吗?
- 17. 我真的需要的.htaccess
- 18. 我是否真的需要Visual Studio
- 19. 我真的需要在每个Principal上调用Dispose()吗?
- 20. php htmlentities解码textarea
- 21. 什么是Initialize方法,我真的需要吗?
- 22. 是经/纬真的需要
- 23. 反应textarea的值是只读的,但需要更新
- 24. 是&&真正需要
- 25. Android:真的需要2个字节吗?
- 26. 真的需要galsim boost依赖吗?
- 27. 提取操作符$,真的需要吗?
- 28. CultureInfo.CurrentCulture在String.Format()中真的需要吗?
- 29. scala.util.automata,scala.util.regexp和scala.util.grammar真的需要吗?
- 30. 每桌真的需要PK吗?
:)感谢您的光辉榜样! – kwichz 2011-05-08 12:50:16
但是在textarea上,只是提示,如何编码“新行”? \ n吗? CHR(13)? – kwichz 2011-05-08 14:58:07
@kwichz'\ n'应该做的。 – 2011-05-08 15:01:42