我的网站上有一个文本框,允许使用 html 格式来让用户使文本更美观。
我使用此代码来保护我的数据库的大部分输入。
function clean($str) {
$str = @trim($str);
if(get_magic_quotes_gpc()) {
$str = stripslashes($str);
}
return mysql_real_escape_string($str);
}
我不希望它做的是删除 html 元素,如 <p>
和 <strong>
有没有更好的方法来保护文本区域中的输入?
最佳答案
我只用mysql_real_escape_string()
将数据插入我的数据库并删除类似 <script>
的标签时(和其他一些)从数据库中提取后。我认为那里有一些正则表达式。
关于php - 保护我的 html 表单免受注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8021609/