私はにhtmlentitiesを（使用する必要はありますが）XSS攻撃

Question

を防ぐために、属性だから私は、コードのこの部分を持っていると仮定？

たとえば、次のように：助けを

<p>Last Activity: <?php echo htmlentities(getTime($datetime)); ?></p>

ありがとう：

<div class="name" id="<?php echo htmlentities($userId); ?>" >...</div>

また、私はこれを行う必要があります！

P.S.:datetimeは、ユーザーがこれらの変数を操作したりすることができない場合、それが依存して私は

Answer 1

を作成している機能です。もしそれらがエコーアウトされる前にそれらの変数を（htmlentities（）と他のものを使って）消すべきです。これらの変数がハードコードされているため、ユーザーがそれらを操作できない場合は、正常です。

基本的に、echo $ userIDを呼び出す前に、変数$ userIDを変更することはできますか？そうすれば、セキュリティのためにhtmlentitesやおそらく他のものも含めるべきです。

ここにはlinkがあります。回答のコメントも必ずお読みください。