显示用户评论时,应该执行什么类型的卫生设施?
我希望允许用户显示链接,使用粗体和斜体等样式,但显然可以防止注入javascript和其他脚本标记。
使用htmlspecialchars()将删除所有<>字符,因此它会阻止用户设置评论样式,除非使用某些形式的代码,如BBCodes。
(旁注,像codeigniter这样的框架是否已经提供了这种性质的功能?)
提前致谢,
答案 0 :(得分:1)
您应该考虑使用Markdown等用户提供的输入。这样他们就可以设置文本样式,并且可以控制他们可以使用的样式。
答案 1 :(得分:1)
strip_tags不太安全,有关于此http://www.reddit.com/r/PHP/comments/nj5t0/what_everyone_should_know_about_strip_tags/
的好文章