wechall XSS

htmlspecialchars

Posted by rk700 on May 26, 2014

http://www.wechall.net/challenge/htmlspecialchars/index.php
单引号也需要encode，否则可以添加事件如 onclick=alert(1)
所以需要给 htmlspecialchars 加上 ENT_QUOTES