因为没有办法判断用户输入的数据是否安全, 可能含有和sql语句相冲突的字符,比如 ' " < >,
那就有一个办法, 把这些特殊字符处理一下,比如吧空格符号变成 ,这样sql语句就安全了,并且浏览器完全可以识别这些符号。用户的输入有2中情况,1 文章输入,插入数据库, htmlspecialchars -> 把某些可能和和sql语句相冲突的字符转义,但又不影响在网页上显示
2 url输入,显示在页面. -> 这个时候更要多测试不同情况, 真有http://localhost/local/?name=%27οnmοuseοver=%27alert(1)-------htmlspecialchars('abc', ENT_QUOTES)
和之前想象的不同,body field在full html模式下,什么代码都能输入,因为sql语句不会和具体的value发生关系,只会和id/name之类的发生关系。
dpm(htmlspecialchars('q\'q"q\'>\<')); //q'q"q'>\< dpm(htmlspecialchars('q\'q"q\'>\<',ENT_QUOTES)); //q'q"q'>\< 从这里可以看出htmlspecialchars的功能还包括吧\'这样的字符转成‘,然后看是否ent_quotes,决定是否把‘转成实体。 