Нужно ли декодировать html-объекты из поля ввода формы?

У меня есть форма, которая содержит HTML-сущности в поле ввода, что-то вроде:

<input type="hidden" name="foo" value="<?php htmlspecialchars($foo) ?>" />

Если $foo принимает в значение что-то вроде<b>foo</b>«, похоже, что когда форма публикуется в сценарии PHP, значение $_POST['foo'] уже декодирован … значит ли это, что мне не нужно использовать htmlspecialchars_decode преобразовать $_POST['foo'] вернуться к своей первоначальной форме $foo?

Спасибо за любые комментарии по этому вопросу.

2

Решение

Когда дело доходит до пользовательского ввода, используйте очень защитный код. Никогда не делайте предположений. Хотя исходное состояние может быть установлено сервером, ничто не мешает кому-либо манипулировать значением скрытого ввода со злонамеренным значением. В этот момент вы должны ответственно относиться к этому значению, поэтому убедитесь, что вы охватили любой возможный случай.

1

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]