Yalnızca olası zarar aslında değil zaman HTTP cini web sayfası ya da diğer kaynak charset (kodlama) UTF-8 tarayıcı söyleyebilir olmasıdır.

Genel olarak, bu tüm kaynakları UTF-8 olan ya da vaka bazında bir durumda varsayılan geçersiz kılmak için hazır olduğunuzdan emin değilseniz varsayılan charset ayarlamak için kötü bir fikir. HTTP başlıkları belirtilen charset sayfanın kendisi belirtmek ne geçersiz kılar unutmayın. Tarayıcılar günümüzde belirtilmemişse eğer sayfaların charset belirlemek güçlü sezgisel taramaya sahip, bu yüzden belirtilen bir yanlış charset olan daha belirtilen hiçbir charset olması daha iyidir.

Evet, güvenlik açıkları charset değiştirerek sokulabilir.

Orada GBK MySQL müşterinizin kodlamasını değiştirmek eğer SQL enjeksiyonu ile sorunlar olabilir, çünkü this breaks addslashes() olabilir. Ben bunu test edilmemiş olmasına rağmen bu UTF8'den için bir sorun olduğunu sanmıyorum. Her durumda you) (mysql_real_escape_string kullandığınızdan emin olun, ya da bir mysql veritabanına bağlıysanız daha iyi otomatik mysql_real_escape_string kullanan PDO gibi bir parametreli sorgu Kütüphanesi () kullanmalısınız.

XSS için ben kullanmak istiyorum htmlspecialchars($var,ENT_QUOTES,'UTF-8').