例如，用戶提交的數(shù)據(jù)a < b方法1，存入數(shù)據(jù)庫時編碼，即存入的是a &lt; b方法2，寫 Html 時編碼，即原樣存入數(shù)據(jù)庫a < b但在寫到頁面前，編碼成a &lt; b我個人比較傾向方法1，因為 XSS 是瀏覽器誤會造成的，而后臺返回的數(shù)據(jù)不一定只給瀏覽器呀，其他客戶端（如手機APP）就不用擔心，這是其一；其二，如果這一列在 SELECT 時要比較的話，方法2 就要求比較的值也必須先編碼，否則不可能相等，如：WHERE c = 'a < b'這么寫肯定不行，因為數(shù)據(jù)庫存的是 'a &lt; b'。所以，從純粹程序設計的角度講，方法2 總是假定客戶端是瀏覽器，不好。但是方法1 的問題是，如果每次寫到 html 時都要 “記得” 編碼，太容易忘！一旦忘記，也就埋下了安全隱患，對吧？所以您的建議是？