javascript - HTML 编辑器漏洞

标签 javascript php html

我在开网店,我对产品描述有一点疑问。

我想用户使用一些基本的 html 元素设置自己的描述,例如 <b> , <iframe> , <body> , <style>

那么我现在如何保护该描述免受 sql 注入(inject)或恶意 javascript 和 php 代码的侵害?

我试过 myqsl_real_escape_string()但我认为这还不够

最佳答案

您可以使用BB-Codes 进行描述。

例如:

<?php

$description = 'hello, [b]b Tag[/b] for test';
$description = htmlspecialchars($description, ENT_QUOTES, "UTF-8");
$description = preg_replace('\[b](.*?)\[\/b]','<b>$1</b>',$description);

echo $description;

?>

输出:

你好,文本的b标签

关于javascript - HTML 编辑器漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31916376/

上一篇:javascript - 隐藏兄弟 <ul> 时

下一篇:jquery - 这个简单的点击功能我做错了什么?

相关文章:

javascript - jquery中的反弹效果并不理想

javascript - 获取复选框的 id

java - Netbeans 开发 PHP 脚本时速度很慢

php - 在 PHP 中替代 "header"进行重定向

php - 如何打印时间表以避免重复日期?

javascript - 按属性值对对象数组进行排序

javascript - 如何每 90 小时后重新启动倒数计时器

html - ARIA 角色是否由后代继承?

javascript - Flex 与 HTML5/TypeScript 之间的通信

javascript - 如何在 JavaScript 中模拟 Selenium Webdriver 中的 HTML5 拖放

©2024 IT工具网  联系我们