私の理解では、すべての変数はビュー内でhtmlspecialchars()を通して出力する必要があります。htmlspecialchars - より良い方法が必要です
これを行う方法や方法はありますか?各ビューの適切な行に機能を指定する必要はありませんか? 関数html_escape($のVAR)
function h($var)
{
if (is_array($var))
{
return array_map('h', $var);
}
else
{
return htmlspecialchars($var, ENT_QUOTES, 'UTF8');
}
}
しかし、まだ...これは非常に退屈な得ることができる:
私が思い付くことができることを最高のは、次のようにヘルパー関数を持つことです!
アイデア?
htmlspecialcharsはすべての変数出力に使用する必要がありますか? – imm
これは、PHPテンプレートエンジンが存在する理由の1つです。いくつかの情報については、[このチュートリアル](http://coding.smashingmagazine.com/2011/10/17/getting-started-with-php-templating/)をチェックしてください。 –
@immまあ、ユーザーが提供する変数ごとに言いたいのですが、 – JonoB