我有一个带有用户可以编辑的文本字段的表单,它将在包含输入文本的网站上创建一个页面。我怎样才能确保生成的页面不显示任何恶意,没有链接,图像或代码,只是原始文本?目前从PHP我使用htmlspecialchars(),并在页面上显示文本时,它是在xmp标签。这足够了,还是我应该明确地做一些事情来验证脚本标记等?如何安全地显示用户提交的文本?
编辑:这个问题是不同于建议的问题,因为我没有使用SQL。
编辑2:我接受了strip_tags。我现在使用htmlspecialchars(strip_tags(“input”))从php验证用户输入,并在显示时包装在xmp标记中。
欢迎,无论如何,你进入这个网站,只是查看这个Q&A这是最受欢迎的网站之一... http://stackoverflow.com/questions/60174/how-can-i-prevent -sql -injection-in-php – user1844933
谢谢。我没有使用sql,所以你链接的问题不是很有用。 – jimmy
然后strip_tags是最终的解决方案... – user1844933