我有一个在输入字段中包含html实体的表单,类似于:
<input type="hidden" name="foo" value="<?php htmlspecialchars($foo) ?>" />
如果$foo采用类似"<b>foo</b>"的值,则当表单发布到PHP脚本时,似乎$_POST['foo']的值已经解码。。。这是否意味着我不需要使用htmlspecialchars_decode将$_POST['foo']转换回其原始形式$foo?
感谢您对此问题的任何意见。
当涉及到用户输入时,代码非常防御。永远不要做任何假设。虽然初始状态可能由服务器设置,但没有什么可以阻止某人将隐藏输入的值操纵为恶意值。在这一点上,你有责任负责任地处理这个价值,所以确保你涵盖了任何可能的情况。