0
我有我自己的称为xss的函数,它返回已清理的文本。我想知道,如果它是不够的,还是我有以纯文本和HTML格式过滤XSS
function xss($str,$html = false)
{
if($html){
//HTML Purfier called here
}else{
return str_replace(array('&','"',"'",'<','>'), array('&','"',''','<','>'), $str);
}
}
一些bug,我不希望使用strip_tags,因为它删除所有标签。我想离开它们,但是替换为保存实体。替换这些字符时会保存吗?
对于第二部分:http://php.net/manual/en/function.htmlspecialchars.php –
谢谢,但它会够了,对不对?我不确定 – Arxeiss