可能重复:
What do the ENT_HTML5, ENT_HTML401, … modifiers on html_entity_decode do?
当使用htmlspecialchars转义转到html属性的输出时,我想知道哪个标志是正确的。
似乎ENT_QUOTES比ENT_COMPAT更安全,因为如果有人意外添加了一些带有单引号属性的代码,它就不会失败,但为什么ENT_COMPAT存在呢? ENT_QUOTES是否有缺点?
使用ENT_HTML5,ENT_XHTML或ENT_HTML401或根本不设置一个安全措施有什么安全隐患?