htmlspecialchars()函数只对&、’、”、<、>符号进行转译成html特殊符号

我们可以通过url编码对带有连接的标记进行***:

1
2
3
4
5
6
7
<a href="
<?php
echo
htmlspecialchars(
"javascript:alert(1)"
,ENT_QUOTES); ?>
">a</a>
<a href="
<?php
echo
htmlspecialchars(
"javascript:location%3D'http%3A%2F%2Fqq.com'"
,ENT_QUOTES); ?>
">a</a>