标签: php html escaping
我在网站上有一些用户输入,而我不想在以后用PHP输出该输入时允许HTML 。
我认为唯一危险的字符是<,>,/(斜杠)和\(反斜杠)。
<
>
/
\
我是对的吗?
因此,例如,如果我将<替换为<,是否足以阻止输出HTML?
<
答案 0 :(得分:10)
只需使用内置函数htmlspecialchars(),你就会很好。请注意,您还应始终添加编码参数。
htmlspecialchars()
例如:
echo htmlspecialchars($unsafeString, ENT_QUOTES, 'UTF-8');