在PHP中,有一个名为 htmlspecialchars() 的函数,它对字符串执行以下替换:
此外,我偶然发现了GitHub上的这个名为“he”的库(由Mathias Bynens开发),它涉及编码/解码HTML实体。在那里,我找到了以下内容:
最后,这一切引出了以下问题: 问题3:除了上述5/6个字符之外,还有哪些字符应该被认为是“不安全”的?
&
(和号)转换为&
"
(双引号)转换为"
'
(单引号)转换为'
(仅在设置了ENT_QUOTES标志时)<
(小于号)转换为<
>
(大于号)转换为>
此外,我偶然发现了GitHub上的这个名为“he”的库(由Mathias Bynens开发),它涉及编码/解码HTML实体。在那里,我找到了以下内容:
(来源) 问题2: 有没有一个好的理由认为反引号是另一个不安全的HTML字符?如果有,这是否意味着PHP上述函数已经过时?[...] 在HTML内容中不安全使用的字符(&,<,>,“,' 和 `)将被编码。[...]
最后,这一切引出了以下问题: 问题3:除了上述5/6个字符之外,还有哪些字符应该被认为是“不安全”的?