我使用jquery ajax和一些方法 - after,replacewith,html。对于所有“获取”和“发布”数据,我使用htmlspecialchars。使用htmlspecialchars?
答案 0 :(得分:0)
如果您的意思是XSS攻击,那么格式化输出数据是有意义的:
<textarea>必须转发传入数据并检查其类型是否合规。您输出给客户的内容仅影响他。
htmlspecialchars 仅将特殊字符转换为HTML实体。此函数不会转义变量。
答案 1 :(得分:0)
选择,插入,更新和...使用mysqli_real_escape_string
$val = mysqli_real_escape_string($_POST['val']);
"INSERT INTO `table` (`val`) VALUES ('$val;')";
对于mysqli使用htmlspecialchars
while($row = ...){
echo htmlspecialchars($row["val"],ENT_QUOTES,'UTF-8');
}