Нужно ли декодировать html-объекты из поля ввода формы?
У меня есть форма, которая содержит HTML-сущности в поле ввода, что-то вроде:
<input type="hidden" name="foo" value="<?php htmlspecialchars($foo) ?>" />
Если $foo принимает в значение что-то вроде<b>foo</b>«, похоже, что когда форма публикуется в сценарии PHP, значение $_POST['foo'] уже декодирован … значит ли это, что мне не нужно использовать htmlspecialchars_decode преобразовать $_POST['foo'] вернуться к своей первоначальной форме $foo?
Спасибо за любые комментарии по этому вопросу.
Решение
Когда дело доходит до пользовательского ввода, используйте очень защитный код. Никогда не делайте предположений. Хотя исходное состояние может быть установлено сервером, ничто не мешает кому-либо манипулировать значением скрытого ввода со злонамеренным значением. В этот момент вы должны ответственно относиться к этому значению, поэтому убедитесь, что вы охватили любой возможный случай.
Другие решения
Других решений пока нет …