3
我想知道它是否真的有必要在html textarea上打印之前用htmlentities($ str,ENT_QUOTES,「UTF-8」)轉義我的字符串。但是我真的需要textarea上的htmlentities嗎?
或自動這個逃脫我的角色?
A
回答
15
是的,這是必要的。
否則,輸入數據中的</textarea>會混淆您的標記。
<textarea> <--------------------------- Your tag
</textarea> <------------------------ User input
<script>alert("Hello!");</script> <-- User input, XSS injection
</textarea> <-------------------------- Your tag
4
textarea元素被定義爲包含PCDATA,所以標籤不被允許在裏面,實體仍然被解碼。
瀏覽器將執行錯誤更正,但錯誤更正是首先不存在錯誤的可靠替代品。
某些錯誤不會被糾正(因爲它們不是語法錯誤),例如當您希望數據爲<或</textarea>時。
即使您決定某些錯誤對您而言可接受,那麼當您使用驗證程序執行基本QA時,您將產生噪音,從而可能會掩蓋您關心的錯誤。
所以總之,是的,有必要轉義具有特殊含義的字符。但是,只要你的字符編碼是直的,htmlspecialchars就足夠了。
相關問題
- 1. 我真的需要bindParam嗎?
- 2. 我真的需要MVVM嗎?
- 3. css BEM - 我們真的需要E嗎?
- 4. 我真的需要做mysql_close()嗎?
- 5. 我們真的需要Automapper嗎?
- 6. Portal:我真的需要一個Portal嗎?
- 7. c#vb:我們真的需要System.Lazy嗎?
- 8. 我真的需要寫這個「SerializationHelper」嗎?
- 9. 我真的需要服務層嗎?
- 10. 我真的需要散列密碼嗎?
- 11. 是:懸停真的需要cusor嗎?
- 12. htmlentities和json_encode,如果使用json_encode轉義數據,我需要使用htmlentities嗎?
- 13. Subversion *真的需要ActivePython嗎?
- 14. GLSL Renderbuffer真的需要嗎?
- 15. 防止SQL注入:mysql_real_escape_string()真的是我需要的嗎?
- 16. jBPM是我需要的嗎?
- 17. 我真的需要的.htaccess
- 18. 我是否真的需要Visual Studio
- 19. 我真的需要在每個Principal上調用Dispose()嗎?
- 20. php htmlentities解碼textarea
- 21. 什麼是Initialize方法,我真的需要嗎?
- 22. 是經/緯真的需要
- 23. 反應textarea的值是隻讀的,但需要更新
- 24. 是&&真正需要
- 25. Android:真的需要2個字節嗎?
- 26. 真的需要galsim boost依賴嗎?
- 27. 提取操作符$,真的需要嗎?
- 28. CultureInfo.CurrentCulture在String.Format()中真的需要嗎?
- 29. scala.util.automata,scala.util.regexp和scala.util.grammar真的需要嗎?
- 30. 每桌真的需要PK嗎?
:)感謝您的光輝榜樣! – kwichz 2011-05-08 12:50:16
但是在textarea上,只是提示,如何編碼「新行」? \ n嗎? CHR(13)? – kwichz 2011-05-08 14:58:07
@kwichz'\ n'應該做的。 – 2011-05-08 15:01:42