addslashes()是否可以安全地阻止HTML属性中的XSS？

我不得不处理以前开发人员离开的旧网络应用程序.它使用addslashes()来防止HTTML属性上的XSS.

这是一个例子:

";
?>

这容易受到XSS的攻击吗？有没有什么方法可以在一个值属性中运行javascript,就像在src属性中一样,例如,src ='javascript:alert(99)'.或者可以打破value属性然后插入脚本标记？

编辑:感谢Quentin,我相信它很脆弱.

addslashes()是否可以安全地阻止HTML属性中的XSS？

它非常无效.

这容易受到XSS的攻击吗？

是.

有没有什么方法可以在一个值属性中运行javascript,就像在src属性中一样,例如,src ='javascript:alert(99)'.

没有

或者可以打破value属性然后插入脚本标记？

数据只需要包含一个",并且属性被打破.

htmlspecialchars要在任何字符串中插入任意字符串时使用.