因此,使用白名单/黑名单字符不是一种选择.
我并不担心(覆盖它)关于数据库端(sql注入),而是我的页面中的代码注入.
是否有任何情况下htmlspecialchars()不足以阻止代码注入?
解决方法:
将用户文本插入单引号属性时,纯htmlspecialchars是不够的.在这种情况下,您需要添加ENT_QUOTES,并且需要传递编码.
<tag attr='<?PHP echo htmlspecialchars($usertext);?>'> //dangerous if ENT_QUOTES is not used
将用户文本作为字符串插入javascript / json时,您需要额外的转义.
我认为它也不适用于stange字符集.但是,如果您使用通常的字符集UTF-8,latin1,…它将按预期工作.