我有一个Web表单,询问用户的文章名称和文章的作者。在php后端为了防止恶意脚本,我有两个选择 - 使用条形标签来防止任何标签用户通过htmlentities给出或退出输入。什么是更好的用户体验strip_tags或htmlentities在PHP?
考虑安全性和更好的用户体验。我该怎么办?
我有一个Web表单,询问用户的文章名称和文章的作者。在php后端为了防止恶意脚本,我有两个选择 - 使用条形标签来防止任何标签用户通过htmlentities给出或退出输入。什么是更好的用户体验strip_tags或htmlentities在PHP?
考虑安全性和更好的用户体验。我该怎么办?
这取决于您是否要显示这些字符。
如果你只是处理作者姓名和文章标题,你使用strip_tags()
可能是安全的,但如果你正在服用的整篇文章,它可能包含类似>
,<
和/
字符,因此我们建议htmlentities()
。
即使我拿着整篇文章< ,>不会以其原始形式显示。他们会以html代码的形式出现。 – Abhishek 2013-04-22 13:22:34
是的,当你通过'echo'呈现'<'到页面时,你会得到'<'。 – 2013-04-22 13:25:00
[strip \ _tags and htmlentities]的可能重复(http://stackoverflow.com/questions/5788314/strip-tags-and-htmlentities) – Rikesh 2013-04-22 13:00:58
使用strip_tags。您可能对HTML标记不感兴趣。 – silkfire 2013-04-22 13:00:03
[用PHP进行用户输入清理的最佳方法是什么?](http://stackoverflow.com/questions/129677/whats-the-best-method-for-sanitizing-user-input-with-php) – 2013-05-12 00:14:08