Я использую следующее, как указано paragonie ( Paragonie noHTML ), чтобы экранировать все html.
, но когда я пытаюсь выполнить следующее, предупреждение все равно выполняется.я думал, что человечество должно скрывать все сущности и защищать.
что мне не хватает?использую php7.2
$a="alert('hi')";
<body onload=<?php echo noHTML($a);?> > </body>
<?php
/**
* Escape all HTML, JavaScript, and CSS
*
* @param string $input The input string
* @param string $encoding Which character encoding are we using?
* @return string
*/
function noHTML($input, $encoding = 'UTF-8')
{
return htmlentities($input, ENT_QUOTES | ENT_HTML5, $encoding);
}