3回答

慕村225694

我认为一个人在输入过程中不应该逃避任何事情，只有在输出时。因为(大多数情况下)你不能假设你知道数据的去向。例如，如果您的表单获取稍后发送的电子邮件中显示的数据，则需要不同的转义(否则恶意用户可以重写您的电子邮件头)。换句话说，您只能在数据“离开”您的应用程序的最后一刻逃离：列表项目写入xml文件，转义为xml写入DB，转义(针对特定DBMS)写电子邮件，逃避电子邮件等走捷径：你不知道你的数据会去哪里数据可能最终会出现在多个地方，需要不同的转义机制，但不是两者兼而有之。为错误的目标转义的数据确实不太好。(例如，收到一封主题为“去汤米的酒吧”的电子邮件。)如果您在输入层转义数据(或者您需要重新转义它，等等)，ESP#3就会出现。PS：我会再次建议不要使用魔术_引号，那是纯粹的邪恶！

0 0

0