1
A
回答
2
最简单的方法是用<
和>
替换<
然后用>
替换,然后将帖子插入到数据库中。
这是基本的出发点,您可以将某些标签列入白名单并稍后展开,但这样可以保护您免受任何HTML注入的侵害。
或者,您可以使用某种HTML编码功能来清理输入。
1
-1
您需要了解input sanitization。
0
如果你想阻止他们使用任何HTML 在所有的,你可以使用htmlspecialchars()
。在存储到数据库之前或在输出页面之前,您可以选择是否这样做(大多数人会建议在使用输出之前立即清理输出,即输出页面时)。
+2
我不同意这种说法。如果您在进入数据库之前进行清理,那么这是一次性操作。如果您在输出时进行清理,则每次使用数据时都必须执行清理。 – syrion 2011-04-05 15:01:03
0
您可以使用 strip_tags 来消除所有标记。
如果你只剥去<
与<
和>
与>
你会以很多垃圾进入存储的数据库条目。
但是,如果你是一个论坛,也许你应该实现一个特定的方法,让你的用户个性化一点点他们的帖子,一拉计算器..
您可以创建一个特殊的词表,或只是让一些标签。检查this site。
相关问题
- 1. 如何使回复评论引用评论的ID在论坛
- 2. 如何阅读别人的论坛
- 3. 如何在yii中为每个论坛帖子添加评论,使用bbii论坛模块和评论模块
- 4. Facebook的评论框不能看到别人评论
- 5. 论坛评论部分与PhP
- 6. ColdFusion的评论/论坛类型软件
- 7. 对音乐论坛发表评论
- 8. 在网页上的评论论坛
- 9. fb:comments - 如何评论评论
- 10. 如何让用户评论
- 11. 不能把jQuery的phpbb论坛
- 12. 如何以编程方式删除drupal中的论坛评论?
- 13. 如何向buddypress论坛回复添加评论
- 14. Disqus - 让我的论坛
- 15. HTML评论Extracter
- 16. 评论评论
- 17. 论坛类别的问题
- 18. phpBB3 - 创建论坛类别
- 19. Drupal 6:没有论坛索引页面(高级论坛)
- 20. 如何评论XSLT而不是HTML
- 21. 如何将论坛讨论索引为搜索?
- 22. 如何使用评论框评论框使用评论系统
- 23. 如何使用Django的评论框架评论评论
- 24. Facebook的评论|我如何在发布前评论评论
- 25. 包/评论评论
- 26. 如何批量评论gerrit评论?
- 27. 如何评论评论的工作?
- 28. 评论:如何评论 - 或 - >
- 29. 评论评论标记(嵌套评论)
- 30. 搜索引擎机器人抓取论坛如何?
inpuit sanitazation是一个矛盾 - 问题是输入验证和输出santitization – symcbean 2011-04-05 15:06:03
消毒是验证的一种形式。请参阅OWASP:http://www.owasp.org/index.php/Data_Validation#Sanitize – syrion 2011-04-05 15:08:55