我正在使用 PHP 制作一个 Web 应用程序,其中我有一个表单,可以在 MySQL 数据库中输入条目,然后将其显示在另一个网页上。但问题是表单中的文本框倾向于接受 HTML 内容,使应用程序容易受到 XSS 黑客攻击。在网页中显示之前如何将 HTML 转换为纯文本。
如果我没有提供任何信息,请随时提问。
- - - - - - - - - - - - - - - - - - - -(更新) - - - - --------------------------------
你们中的许多伙伴建议使用 htmlspecialchars
但在那种情况下,如果我要允许用户使用超链接引用其他页面,我该怎么做?
最佳答案
htmlspecialchars是你的 friend 之一,你可能还想替换 < 的 utf8、十六进制编码或实体化版本,以避免混淆脚本通过。
关于php - 防止将 HTML 数据发布到表单文本框中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4970986/