輸出、輸入都要檢查,防XSS
內容輸出前,也需要進行過濾檢查,避免插入了非預期的網頁內容、修改網頁呈現,甚至插入惡意的JavaScript,也就是Cross-Site Scripting(XSS)。在PHP中可以使用htmlspecialchars()將 & > " < 轉成HTML字串格式,例如:
* & (和) 轉成 &
* " (雙引號) 轉成 "
* < (小於) 轉成 <
* > (大於) 轉成 >