将一些特殊字符转换一下.
比如说
'&' (ampersand) becomes '&'
'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
'<' (less than) becomes '<'
'>' (greater than) becomes '>' 在插入前转换很大的一部分原因是执行sql时产生错误,比如说 " '之类的.
读数据的时候不需要转换是因为 不论&还是&浏览器都能识别.
比如说
'&' (ampersand) becomes '&'
'"' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
'<' (less than) becomes '<'
'>' (greater than) becomes '>' 在插入前转换很大的一部分原因是执行sql时产生错误,比如说 " '之类的.
读数据的时候不需要转换是因为 不论&还是&浏览器都能识别.
如果不用HTMLSpecialChars,,就会导致读取时,要把"<script>"之类的HTML标签“原本”的输出,而这一输出就有漏洞了,万一那个插入数据库的人是黑客,插入的不是一般的字符串,而是“<script><b><body>”等等之类的东西,读取后,就是一个HTML文档之类的东西,这样,他可以利用这个漏洞欺骗其他人,或者借这个漏洞攻击别人等等,搞个框架跳转到某一网站等等操作。