假设值将在查询中使用,选择输入(或复选框或单选框)是否需要清除和/或转义?如果是,为什么?我的意思是,这个价值观怎么会被人改变?
是的,您应该始终清理所有输入。仅仅因为你让用户从选择、单选或复选框中进行选择,并不意味着他们不能使用web检查器来更改他们可以选择的值。此外,他们总是可以制造自己的GET或POST请求来发送他们想要的任何值。
<input name="myradio" type="radio" value="2" />
成为
<input name="myradio" type="text" value="some baaad value" />
因此,清除所有输入是唯一的选项。