htmlspecialchars函数并不能百分百的防止XSS
htmlspecialchars()函数只对&、’、”、<、>符号进行转译成html特殊符号
我们可以通过url编码对带有连接的标记进行***:
<a href=" <?php echo htmlspecialchars("javascript:alert(1)",ENT_QUOTES); ?> ">a</a> <a href=" <?php echo htmlspecialchars("javascript:location%3D'http%3A%2F%2Fqq.com'",ENT_QUOTES); ?> ">a</a>