我正在开发一个应用程序,我正在阅读实施安全措施。我设置了一个类来自动生成表单元素,并且该类将php字符串变量嵌入到html中以创建字段。然而,我注意到,htmlspecialchars()并不是必需的,因为我去实现它。所以,我试图伪恶意关闭此:在这种情况下不需要特殊产品吗?
<input type="text" name="email">... rest of html
到:
<input type="text" name="email"><br><br>
然而,前后都使用用htmlspecialchars()之后,我的浏览器给了我这个当我尝试编辑前端html:
<input type="text" name="email"><br><br>
这只是自动实现的东西吗?如果是这样,这是来自PHP更新(我认为我发现它是PHP 5.4中的更新)?
此外,我可以放弃使用htmlspecialchars()?
谢谢!
编辑:更多信息请
$this->type = 'text' //what I would normally use
$this->type = 'text" name="name"><br><br>' //my attempt to manipulate the html
$output = "<input type='$this->type' name='$this->name'";
$output .= ... close the tag, etc.
echo $output;
你如何测试确保你正在查看源代码,而不是查看开发工具或萤火虫。 – Orangepill
我正在使用萤火虫,但其他回声陈述显示为他们的HTML形式,这一个行为就像我用htmlspecialchars() –
使用浏览器查看源... DOM观众显示它是如何解释,并不总是如何返回。 – Orangepill