今天在http://www.bennadel.com/blog/2004-Escaping-Form-Values-Understanding-The-ColdFusion-htmlEditFormat-Life-Cycle.htm上发表了评论:Rick Osborne



我们都应该开始使用XmlFormat()吗？除了性能可能稍慢之外，您还能想到“令人信服的原因”吗？

更新:以下答案不再相关。我通过在XMLEditFormat()上使用XMLFormat()注意到，IE无法解释'并因此造成破坏。

在我看来，如果它能捕获更多内容(例如Jason Dean指出的单引号)，从而使您的应用程序更安全，那么我会吃掉性能上的损失。在所有现实中，可能会在1或2毫秒内对性能造成多大影响？

在即将发布的cfwheels 1.1版本中，我添加了一个h()方法，该方法是htmleditformat()方法的包装器。阅读了本和这篇文章之后，我将其切换为使用XMLFormat()。