首页 > 安全 > 网站安全 >

htmlspecialchars无法防注入

2010-11-24

本函数将特殊字符转成 HTML 的字符串格式 ( &....; )。最常用到的场合可能就是处理客户留言的留言版了。     * &- ---- 转成 &amp;    * " ---- 转成 &quot;    * <&n

本函数将特殊字符转成 HTML 的字符串格式 ( &....; )。最常用到的场合可能就是处理客户留言的留言版了。

* &- ---- 转成 &amp;
* " ---- 转成 "
* < ---- 转成 <
* > ---- 转成 >

很多程序用它做用户名过滤,本函数没过滤 , 空格 ( ) ; 所以SQLi仍然可以。

相关文章
最新文章
热点推荐