我从db获取文本并输出输入类型text& textarea用户可以编辑他们的文字,我的问题是我还需要使用htmlentities吗?
似乎代码不会在输入类型文本& textarea的
离。
$data="<h1>efijfie</h1>";
<textarea><?PHP echo $data;?></textarea>
答案 0 :(得分:0)
简短的回答是肯定的,您需要清理Web上显示的数据,这些数据来自用户输入的数据库数据。以下是一些更高级别的信息:http://diovo.com/2008/09/sanitizing-user-data-how-and-where-to-do-it/。但一个好的经验法则是永远不要信任用户提供的任何数据。永远不能。如初。