这是一个应该在javascript alert()中输出的字符串示例:
string with "double quote" in it
因为我的用户可以通过PHP编辑这个字符串,所以最好预防XSS攻击。为了在文档的HTML中这样做,我通常会进行以下操作:
<?php echo( htmlspecialchars( $MY_STRING, ENT_QUOTES, 'UTF-8' ) ); ?>
这很好用。
但是现在我注意到如果我在JavaScript警告框中输出相同的字符串:
<script>
alert( "<?php echo( htmlspecialchars( $MY_STRING, ENT_QUOTES, 'UTF-8' ) ); ?>" );
</script>
这种情况下alert的输出是:
string with "double quote" in it
在alert中输出双引号的最佳方式是什么,同时又能防止XSS注入呢?
addslashes(strip_tags( ... ))
应该 可以完成任务... - CD001