我修整到HTML字符过滤掉这样用strip_tags不工作
$user = $_POST["user"]; //Get username from <form>
mysql_real_escape_string($user); //Against SQL injection
strip_tags($user); //Filter html characters out
但出于某种原因,这是不过滤HTML字符了。我不知道为什么,可以通过mysql_real_escape_string
?
哪种HTML字符不会被滤除? ['strip_tags'](http://php.net/strip_tags)不会过滤掉所有的HTML,只是一些标签。除此之外,盲目应用一些esacpe或strip函数并不能增加很多安全性,你需要知道你具体做什么。这是关于输入验证,清理和构建数据库查询的难点。 – hakre 2011-12-20 18:33:53
它也是错误的顺序(即使strip_tags不可能撤销转义)。 – mario 2011-12-20 18:37:57