У меня есть форма, которая содержит объекты html в поле ввода, например:
<input type="hidden" name="foo" value="<?php htmlspecialchars($foo) ?>" />
Если $foo
принимает значение чего-то вроде "<b>foo</b>
", кажется, что когда форма отправляется в PHP-скрипт, значение $_POST['foo']
уже декодировано... значит ли это, что я не Не нужно ли использовать htmlspecialchars_decode
для преобразования $_POST['foo']
обратно в исходную форму $foo
?
Спасибо за любые материалы по этому вопросу.
$foo
внезапно становится" onclick="maliciuos code"
, у вас есть проблема, поэтому вы кодируете сущности, чтобы избежать XSS. - person adeneo   schedule 27.03.2015