这个函数将一些特殊字符转换一下. 比如说 '&' (ampersand) becomes '&' '"' (double quote) becomes '"' when ENT_NOQUOTES is not set. ''' (single quote) becomes ''' only when ENT_QUOTES is set. ' <' (less than) becomes '<' '>' (greater than) becomes '>' 在插入前转换很大的一部分原因是执行sql时产生错误,比如说 " '之类的. 读数据的时候不需要转换是因为 不论&还是&浏览器都能识别.
如果不用HTMLSpecialChars,,就会导致读取时,要把" <script>"之类的HTML标签“原本”的输出,而这一输出就有漏洞了,万一那个插入数据库的人是黑客,插入的不是一般的字符串,而是 “ <script> <b> <body>”等等之类的东西,读取后,就是一个HTML文档之类的东西,这样,他可以利用这个漏洞欺骗其他人,或者借这个漏洞攻击别人等等,搞个框架跳转到某一网站等等操作。
浙公网安备 33010602011771号