$text = "( = \" ' & \\ </textarea> : ; . " ;
echo htmlentities($text);
//outputs as -->> ( = " ' & \ </textarea> : ; .
//obviously, htmlentities does nothing to ( ) = ; and .
htmlentities — хорошая линия защиты, но она не помогает в контексте javascript.
не будет ли это написать собственную функцию htmlencode для дальнейшего применения ( ) . ; и символы = также должны быть закодированы?
Таким образом, одна функция сделает вас безопасным по всем направлениям. Я хочу услышать, есть ли проблемы с этим подходом.
Я предполагаю, что вы не сможете исправить javascript, который может навредить вам, без использования одного из следующих 4 символов: ( . ); знак равно
<script>
? Это очень плохо... - person Niet the Dark Absol   schedule 26.03.2012json_encode
.htmlentities
неверно, как иaddslashes
. - person Halcyon   schedule 26.03.2012