Php 在客户端将转义的撇号转换回character是否安全,
我有一些文本是用户输入,在发送到服务器并通过htmlspecialchars转义后添加到网页中。文本不会保存在数据库中,而是显示在p标记内 如果文本包含撇号,则在网页上显示为Php 在客户端将转义的撇号转换回character是否安全,,php,html,Php,Html,我有一些文本是用户输入,在发送到服务器并通过htmlspecialchars转义后添加到网页中。文本不会保存在数据库中,而是显示在p标记内 如果文本包含撇号,则在网页上显示为&apos,但我希望它显示正确的“字符” 是否有以安全方式显示此内容的最佳实践?? 我想使用htmlspecialchars,因为我喜欢转义服务器上处理的所有内容,即使它没有添加到数据库中 我已经像这样实现了我想要的: (ajax将转义撇号返回为') 这很好,但我担心它有安全问题。原则上为什么不在HTML元素上使用
&apos,但我希望它显示正确的“字符”
是否有以安全方式显示此内容的最佳实践??
我想使用htmlspecialchars,因为我喜欢转义服务器上处理的所有内容,即使它没有添加到数据库中
我已经像这样实现了我想要的:
(ajax将转义撇号返回为'
)
这很好,但我担心它有安全问题。原则上为什么不在HTML元素上使用str\u replace
?用要显示的撇号字符替换撇号的HTML代码。或者更好的是,使用HTML代码来显示您想要显示的特定撇号字符。您还没有解释为什么需要将HTML实体解析回纯文本,更不用说手动了。我有一种直觉,你用错误的方法获取数据。我需要它们恢复为纯文本,因为它显示在网页上,我希望它看起来像这样:现在是,而不是现在's也许这是一种错误的方式。为什么在存储时对其进行编码?这是一个好问题。这是因为它是用一块html发送回来的,所以我在那里转义它,然后从ajax接收并在页面上显示它。如果我使用了通过ajax返回后显示的htmlspecialchars,会显示字符而不是实体吗?原则上为什么不在HTML元素上使用str\u replace
?用要显示的撇号字符替换撇号的HTML代码。或者更好的是,使用HTML代码来显示您想要显示的特定撇号字符。您还没有解释为什么需要将HTML实体解析回纯文本,更不用说手动了。我有一种直觉,你用错误的方法获取数据。我需要它们恢复为纯文本,因为它显示在网页上,我希望它看起来像这样:现在是,而不是现在's也许这是一种错误的方式。为什么在存储时对其进行编码?这是一个好问题。这是因为它是用一块html发送回来的,所以我在那里转义它,然后从ajax接收并在页面上显示它。如果我使用htmlspecialchars作为它通过ajax返回后的显示,它会显示字符而不是实体吗??
var newdescr = response.descr.replace(/'/g, "\'");