我带$ _POST信息并将其存储在数据库中,稍后进行查询并将此信息打印给用户。我应该在插入这个信息之前使用htmlspecialchars(),还是在输出它之前查询它?htmlspecialchars()应该用于输入信息还是输出前?
此外,我需要用户有能力使用引号和其他日常特殊字符的能力。我知道我可以使用ENT_NOQUES标志,但感觉就像我这样做会留下安全漏洞。
我的网站允许设置高亮,我希望用户能够日常使用的字符,而不必查看“放大器; LT; & LT ;? & GT; &”。
耐心与我< --- noob被鼓励! 感谢:d
只是在输出前 – dynamic
[防止xss攻击的更好的方法]的副本(http://stackoverflow.com/questions/6484493/better-way-preventing-xss-attack)(我支持[我的回答](http ://stackoverflow.com/questions/6484493/better-way-preventing-xss-attack)在那里,虽然它的评分为-1)。 – phihag
更好使用strip_tags输入http://php.net/manual/en/function.strip-tags.php –