如何安全地显示用户提交的文本？

-2

我有一个带有用户可以编辑的文本字段的表单，它将在包含输入文本的网站上创建一个页面。我怎样才能确保生成的页面不显示任何恶意，没有链接，图像或代码，只是原始文本？目前从PHP我使用htmlspecialchars（），并在页面上显示文本时，它是在xmp标签。这足够了，还是我应该明确地做一些事情来验证脚本标记等？如何安全地显示用户提交的文本？

编辑：这个问题是不同于建议的问题，因为我没有使用SQL。

编辑2：我接受了strip_tags。我现在使用htmlspecialchars（strip_tags（“input”））从php验证用户输入，并在显示时包装在xmp标记中。

来源

2015-05-17 jimmy

欢迎，无论如何，你进入这个网站，只是查看这个Q＆A这是最受欢迎的网站之一... http://stackoverflow.com/questions/60174/how-can-i-prevent -sql -injection-in-php – user1844933

谢谢。我没有使用sql，所以你链接的问题不是很有用。 – jimmy

然后strip_tags是最终的解决方案... – user1844933

您可以使用strip_tags - 它将删除标签中的所有内容。 http://php.net/manual/en/function.strip-tags.php

来源

2015-05-17 11:59:25 user2182349

谢谢，我现在在做htmlspecialchars（strip_tags（“text”））作为php验证。 – jimmy

首先：使用准备statments为你的数据库存储，更新等等...

二：你应该使用htmlspecialchars()功能逃避输出，它只是将转换特殊字符为HTML实体，所以如果你在那里放置一个脚本标签，它将不会运行。

除非您希望您的用户像在这里一样在StackOverflow中发布代码，否则您可以使用strip_tags()函数作为@ user2182349指出的内容。

来源

2015-05-17 11:58:58 Akar

如何安全地显示用户提交的文本？

回答

相关问题