我正在尝试防止 xss 注入(inject)。 所以在我提交表单之前,调用了一个 javascript 函数
function validatefield(id) {
var description = document.getElementById(id).value;
description = description.replace(/[\"\'][\s]*javascript:(.*)[\"\']/gi, "");
description = description.replace(/script(.*)/gi, "");
description = description.replace(/eval\((.*)\)/gi, "");
document.getElementById(id).value=description;
}
我想知道在插入 mysql 之前是否有办法在 php 中执行相同的操作?如果他们绕过 validatefield 函数。
谢谢
最佳答案
您正在寻找preg_replace .
$description = preg_replace('regex pattern', 'regex replacement', $description);
关于php - javascript字符串替换php上的等价物?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2353830/