У меня есть форма, которая содержит HTML-сущности в поле ввода, что-то вроде:
<input type="hidden" name="foo" value="<?php htmlspecialchars($foo) ?>" />
Если $foo
принимает в значение что-то вроде<b>foo</b>
«, похоже, что когда форма публикуется в сценарии PHP, значение $_POST['foo']
уже декодирован … значит ли это, что мне не нужно использовать htmlspecialchars_decode
преобразовать $_POST['foo']
вернуться к своей первоначальной форме $foo
?
Спасибо за любые комментарии по этому вопросу.
Когда дело доходит до пользовательского ввода, используйте очень защитный код. Никогда не делайте предположений. Хотя исходное состояние может быть установлено сервером, ничто не мешает кому-либо манипулировать значением скрытого ввода со злонамеренным значением. В этот момент вы должны ответственно относиться к этому значению, поэтому убедитесь, что вы охватили любой возможный случай.
Других решений пока нет …