htmlspecialchars()函數的功能以下:php
htmlspecialchars() 函數把預約義的字符轉換爲 HTML 實體。html
預約義的字符是:函數
htmlspecialchars(string,flags,character-set,double_encode)
其中第二個參數flags須要重要注意,不少開發者就是由於沒有注意到這個參數致使使用htmlspecialchars()函數過濾XSS時被繞過。由於flags參數對於引號的編碼以下:編碼
可用的引號類型:code