如果我使用HTMLPurifier,是否还需要使用htmlentities？

但如果相反,我会htmlentities独自使用

Johnny

我的布局得以保留.

所以我想知道这是否是HTMLPurifier配置的问题,或者最佳做法是与它一起使用它htmlentities.

我理解HTMLPurifier有其他功能符合要求和有效的HTML,但我最关心的是XSS.

你怎么看？

如果你担心XSS然后使用htmlspecialchars(没有理由使用全面的htmlentities),你是金色的:

echo htmlspecialchars($user_input);

HTMLPurifier仅在您希望允许某些 HTML功能同时仍然阻止XSS 时才有意义.但是,与任何其他代码一样,它有可能在某些时候不如广告那样有效.就个人而言,我不会去那里.

更新:

是的,htmlspecialchars确实支持其他标志(包括ENT_QUOTES).但是,仅在以下ENT_QUOTES情况下需要:

您正在输出HTML属性的值和

您已将值括在单引号内

因此,例如,你会不会需要ENT_QUOTES在这里:

或者在这里:

您将在这里需要它: