php - 剥离危险的 html 标签、mysql 注入(inject)并在 php 中保留 'good' 标签的最佳方法

Question

我正在寻找从网页过滤输入 html 文本的最佳方法，并对其进行过滤，保留文本格式，并剥离标签和其他危险标签，同时仍然防止 mysql 注入(inject)。

示例:

输入

<p>I'm new here and i dont know much about php programming</p>
<a href='maliciousWebsite.com'>Click here!</a>
'MYSQL INSTRUCTIONS TO GET THE WHOLE DB

输出

<p>I'm new here and i dont know much about php programming</p>

谢谢大家，

Answer 1

利用strip_tags()与 allowable Tags 参数允许您真正想要插入到表格中的必要内容。

出于显示目的，只需使用 htmlspecialchars()或htmlentites()

$yourHTMLdata = '<p>I'm new here and i dont know much about php programming</p>
<a href='maliciousWebsite.com'>Click here!</a>
'MYSQL INSTRUCTIONS TO GET THE WHOLE DB';

echo htmlentites($yourHTMLdata);

甚至是<script>标签不会受到影响，您也不会受到 XSS 攻击