htmlspecialchars()函数只对&、’、”、<、>符号进行转译成html特殊符号

我们可以通过url编码对带有连接的标记进行***:

1
2
3
4
5
6
7
<a href="
<?php echo htmlspecialchars( "javascript:alert(1)" ,ENT_QUOTES); ?>
">a</a>
<a href="
<?php echo htmlspecialchars( "javascript:location%3D'http%3A%2F%2Fqq.com'" ,ENT_QUOTES); ?>
">a</a>