1.首先看下面的代码
<?php $str = "This is <br> text"; echo htmlspecialchars($str); ?>
你运行一下会发现显示完全正确,显示为:
This is <br> text
你查看源代码会发现:
This is <br> text
|
htmlspecialchars()的作用就是显示完全正确,但是源码改变,具体改变规则如下:
'&' (and符号)转换成 '&'
'"' (双引号)转换成 '"'
'<' (小于)转换成 '<'
'>' (大于)转换成 '>'
这个函数就是用来预防XSS的