我正在寻找从网页过滤输入 html 文本的最佳方法,并对其进行过滤,保留文本格式,并剥离标签和其他危险标签,同时仍然防止 mysql 注入(inject)。
示例:
输入
<p>I'm new here and i dont know much about php programming</p>
<a href='maliciousWebsite.com'>Click here!</a>
'MYSQL INSTRUCTIONS TO GET THE WHOLE DB
输出
<p>I'm new here and i dont know much about php programming</p>
谢谢大家,
最佳答案
利用strip_tags()
与 allowable
Tags 参数允许您真正想要插入到表格中的必要内容。
出于显示目的,只需使用 htmlspecialchars()
或htmlentites()
$yourHTMLdata = '<p>I'm new here and i dont know much about php programming</p>
<a href='maliciousWebsite.com'>Click here!</a>
'MYSQL INSTRUCTIONS TO GET THE WHOLE DB';
echo htmlentites($yourHTMLdata);
甚至是<script>
标签不会受到影响,您也不会受到 XSS 攻击
关于php - 剥离危险的 html 标签、mysql 注入(inject)并在 php 中保留 'good' 标签的最佳方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21427788/