14
免責聲明filter_var VSヶ輛VS用htmlspecialchars
這不是我們是否應該逃逸數據庫的輸入問題。這嚴格看待標題中三個功能之間的技術差異。
有this question討論htmlentities()和htmlspecialchars()之間的差異。但是,它並沒有真正討論filter_var(),我在Google上發現的信息更符合「確保在用戶輸入echo'd之前避開用戶輸入!
我的問題是:
- 爲什麼
htmlspecialchars()和htmlentities()常用在filter_var()? - 使用
filter_var()會有一些性能問題嗎? - 是否
filter_var()沒有其他兩個選項那麼安全? - 是否有任何其他理由不使用下面是
echod
filter_var($var, FILTER_SANITIZE_FULL_SPECIAL_CHARS);
'htmlentities' /'htmlspecialchars'允許您通過將第四個參數設置爲'false'來防止雙重編碼實體。如果可以通過'filter_var'實現,我不會。 – ryanve