2
我有一个允许用户输入文本的输入,然后使用PHP将其发送到另一个页面,并存储在数据库中。我做了一些简单的验证(检查输入是否为空),并且工作得很好。但是,我发现我可以输入HTML标记,例如不允许用户在输入中输入HTML标签
<p>
并且它绕过验证并混淆输入。
如何检查输入是否包含HTML标记,如果是,则返回错误?
A
回答
2
要检查试试这个:
if(preg_match('#^<.>.+</.>$#', $your_value)){
echo "NOT GOOD"; // and some error too
}
3
你可以这样做:
<input type='text' pattern='[a-zA-Z0-9]+'>
,可以确保只有字母和数字可以去,不会提交如果别的是里面输入。
然而,这仅仅是良好的客户端,并且将只对IE9 +
工作,这也不是用于验证的最好方法,如果有人知道他们在做什么。他们所要做的就是进入源代码来取出pattern属性,但对于那些不知道的人来说,这样可以。
对于PHP,您可以使用strip_tags()。 Found here
2
在插入数据库之前,您可以简单地使用htmlspecialchars或strip_tags。
您还可以使用mysqli_real_escape_string或PDO::quote为安全字符串
相关问题
- 1. HTML输入不允许号
- 2. 只允许某些HTML标签的用户输入
- 3. 允许HTML输入标记和值wysihtml5
- 4. ComboBox不允许用户输入
- 5. 不允许用户输入管道字符'|'输入形式Angular
- 6. 用户输入,不允许相同的输入两次
- 7. 允许用户在选择输入中更改输入选择输入
- 8. 允许用户只输入特定标签
- 9. 为什么输入标签不允许直接在表单标签中使用?
- 10. HTML表单不允许输入空格
- 11. 允许在UITableViewCell中输入
- 12. HTML文本输入不允许输入文字
- 13. HTML输入标签,无法输入
- 14. 防止输入提交表单,允许在输入中输入
- 15. 不允许输入标点符号
- 16. 如何允许用户输入java
- 17. 允许用户选择输入
- 18. 允许用户输入变量(Python)
- 19. 允许用户只输入文本?
- 20. 允许用户跳过输入输入,只需按Enter键
- 21. 允许用户输入地点的名称而不是坐标
- 22. 允许输入签名的.NETCF组件
- 23. 如何在输入开始之前允许用户输入不受阻塞?
- 24. 为什么输入标签在“值”属性中输入用户输入
- 25. 不允许用户在一个字段中输入数字
- 26. asp.net Bootstrap不允许扩展输入标签的宽度
- 27. HTML输入标签onSubmit
- 28. PHP MySQL输入HTML标签
- 29. HTML表和输入标签
- 30. 限制HTML输入只允许粘贴
怎么样用strip_tags? – user1844933
使用strip_tags http://www.php.net/strip_tags – Hassan