可能重复:
What do the ENT_HTML5, ENT_HTML401, … modifiers on html_entity_decode do?
当使用htmlspecialchars转义转到html属性的输出时,我想知道哪个标志是正确的。
似乎ENT_QUOTES
比ENT_COMPAT
更安全,因为如果有人意外添加了一些带有单引号属性的代码,它就不会失败,但为什么ENT_COMPAT
存在呢? ENT_QUOTES
是否有缺点?
使用ENT_HTML5
,ENT_XHTML
或ENT_HTML401
或根本不设置一个安全措施有什么安全隐患?