我的理解是所有變量都應該通過htmlspecialchars()在視圖中輸出。htmlspecialchars - 必須有更好的方法
是否有任何方法或方法來做到這一點,而不必在每個視圖中的每個適當的行上指定函數?
,我能想出的最好是有一個輔助功能如下: 器函數html_escape($ VAR)
function h($var)
{
if (is_array($var))
{
return array_map('h', $var);
}
else
{
return htmlspecialchars($var, ENT_QUOTES, 'UTF8');
}
}
但還是......這有可能會非常繁瑣!
任何想法?
誰說htmlspecialchars應該用於每個變量輸出? – imm
這是PHP模板引擎存在的原因之一。查看[本教程](http://coding.smashingmagazine.com/2011/10/17/getting-started-with-php-templating/)瞭解一些信息。 –
@imm嗯,我的意思是說每個用戶提供的變量 – JonoB