我有一个在输入字段中包含html实体的表单,类似于:
<input type="hidden" name="foo" value="<?php htmlspecialchars($foo) ?>" />
如果$foo
采用类似"<b>foo</b>
"的值,则当表单发布到PHP脚本时,似乎$_POST['foo']
的值已经解码。。。这是否意味着我不需要使用htmlspecialchars_decode
将$_POST['foo']
转换回其原始形式$foo
?
感谢您对此问题的任何意见。
当涉及到用户输入时,代码非常防御。永远不要做任何假设。虽然初始状态可能由服务器设置,但没有什么可以阻止某人将隐藏输入的值操纵为恶意值。在这一点上,你有责任负责任地处理这个价值,所以确保你涵盖了任何可能的情况。