如何验证用户提交的HTML代码?查找<script>标签很简单,但您也可以嵌入JS,例如<div onclick="yyy"></div>。有没有现成的库/函数? (如$safeHTML = validateCode($rawHTML))
答案 0 :(得分:0)
您可以使用HTML Purifier。
答案 1 :(得分:-1)
我使用以下功能:
function sanitizeString($var){
$var = strip_tags($var);
$var = htmlentities($var);
$var = stripslashes($var);
return mysql_real_escape_string($var);
它改变了像&lt;到
<
阻止SQL的转义字符,加上不需要的斜杠等等。