<?
  $str="&";
  echo htmlspecialchars($str);
?>
结果是输出&了呀
没有转换吧

解决方案 »

  1.   

    不熟悉php。随便说说。错了就当让大家笑笑。输出之后,你要查看一下页面的源代码。
    如果只有一个"&"才能说明没有转换。
    如果源代码里显示的是"&amp;"则说明做了转换,又重新被浏览器解释成了"&""&"是运算符,转换的目的我想是防止注入攻击吧。
      

  2.   

    不好意思,是转换成&amp;了
      

  3.   

    & 变数的指标 (加在变数前) 但是它怎样被用作注入攻击?请举个简单的例子。