超全局变量和 htmlentities
Superglobals and htmlentities
我正在阅读有关 Superglobals 和安全性的内容。作为“规则”,我使用 htmlentities() 作为所有输入和类似的以及
$_SERVER['HTTP_REFERER'];
$_SERVER["REQUEST_METHOD"];
$_POST['thename'];
$_GET['thename'];
但是因为我是新手我不知道我是否必须将它与一些或所有其他超全局变量一起使用。我不知道安全性,也许,有人可以做“某事”来放置(或更改)恶意代码。
我必须只对那些人使用它吗?还是要考虑其他人?
非常感谢。
我要求以好的方式学习。
不要使用 htmlentities()
,请使用 htmlspecialchars()
。
只要您有一些应插入 HTML 的纯文本,就可以使用该函数。这毫无例外——总是这样做。它首先与安全无关,它只是实现正确文本输出的方法。
您应该使用的其他函数:urlencode()
或 rawurlencode()
。
我正在阅读有关 Superglobals 和安全性的内容。作为“规则”,我使用 htmlentities() 作为所有输入和类似的以及
$_SERVER['HTTP_REFERER'];
$_SERVER["REQUEST_METHOD"];
$_POST['thename'];
$_GET['thename'];
但是因为我是新手我不知道我是否必须将它与一些或所有其他超全局变量一起使用。我不知道安全性,也许,有人可以做“某事”来放置(或更改)恶意代码。
我必须只对那些人使用它吗?还是要考虑其他人?
非常感谢。
我要求以好的方式学习。
不要使用 htmlentities()
,请使用 htmlspecialchars()
。
只要您有一些应插入 HTML 的纯文本,就可以使用该函数。这毫无例外——总是这样做。它首先与安全无关,它只是实现正确文本输出的方法。
您应该使用的其他函数:urlencode()
或 rawurlencode()
。