我甚至需要“htmlspecialchars()”来获取textarea的值吗

我有 staff.php 包含员工姓名、职位和详细信息的页面。当用户需要编辑员工信息时,他们将被发送到 edit.php 页 编辑.php 页面显示名称和标题 text field 和详细信息 textarea

我的问题是,我是否需要 htmlspecialchars 在里面 编辑.php 页面。我没有向用户页面打印任何内容,只是在这些字段上。但我使用 html专用车 在…上 员工.php 在打印给用户之前。

它仍然对 XSS Attack ?

密码

部件来自 员工.php

$staff.="<div id='sob'>".htmlspecialchars($title)."<br>".htmlspecialchars($sub_title)."<div><a href='edit.php?pid=".htmlspecialchars($pro_id)."'><input type='submit' id='editx' name='editx' value='Edit'></a></div><div id=''><br>".htmlspecialchars($detail)."</div><hr id='h'></div>";

部件来自 编辑.php

if(isset($_GET["pid"])){
  $name4=$title;            //
  $sub_title4=$sub_title;   //using prepared statement  
  $detail4=$detail;         //
  }

  HTML part at edit.php

 <input type='text' id='staff_name' name='staff_name' value="<?php echo $name4;?>" required>
 </br><input type='text' id='staff_pos' name='staff_pos' value="<?php echo $sub_title4;?>" required>
 </br><textarea id='staff_detail' name='staff_detail' cols='30' rows='6'  required><?php echo $detail4;?></textarea></br>