我在开网店,我对产品描述有一点疑问。
我想用户使用一些基本的 html 元素设置自己的描述,例如 <b>
, <iframe>
, <body>
, <style>
等
那么我现在如何保护该描述免受 sql 注入(inject)或恶意 javascript 和 php 代码的侵害?
我试过 myqsl_real_escape_string()
但我认为这还不够
最佳答案
您可以使用BB-Codes
进行描述。
例如:
<?php
$description = 'hello, [b]b Tag[/b] for test';
$description = htmlspecialchars($description, ENT_QUOTES, "UTF-8");
$description = preg_replace('\[b](.*?)\[\/b]','<b>$1</b>',$description);
echo $description;
?>
输出:
你好,文本的b标签
关于javascript - HTML 编辑器漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31916376/