在转换为 XML 之前转义发布数据的正确方法

Question

我有一个大的多维数组，它有很多不同类型的数据，从字符串到整数，所有数据都转换为 xml 并发送给第三方解析并用它做讨厌的事情。

我目前的目标是清理可能的 sql 注入数组，因为我们现在不知道他们在那里有什么样的保护。

有人可以建议如何在将数组转换为 xml 之前正确转义/转换数组中的任何字符。

我将使用带有递归的函数来循环槽数组。 所以我需要提示和技巧我的函数将对参数做什么。 由于我发现的信息太多，而且存在许多例外情况。

Answer 1

如果您需要确保某些文本值可以作为 xml 标记值插入，应该这样做：

$value = "something I want to encode";
$result = htmlspecialchars(html_entity_decode($value, ENT_QUOTES, 'UTF-8'),
                           ENT_NOQUOTES,
                           'UTF-8',
                           false);