有this question讨论 htmlentities() 和 htmlspecialchars() 之间的区别。但是,它并没有真正讨论 filter_var() ,而我在Google上发现的信息更多是“确保在回显之前避免用户输入!”。
我的问题是:
htmlspecialchars()上通常使用htmlentities()和filter_var()? filter_var()是否会对性能产生影响? filter_var()是否不如其他两个选项那么安全? echod之前不使用以下内容对用户输入进行编码filter_var($var, FILTER_SANITIZE_FULL_SPECIAL_CHARS); 最佳答案
我的猜测(关于缺乏采用)可能是因为Filter扩展仅在v5.2之后才默认启用,而html *方法的使用时间更长。
关于php - filter_var vs htmlentities vs htmlspecialchars,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/6962403/