我使用系统创建然后将数据从db中查询到表中。问题是如果我编写例如<h1>test</h1>
,则表将其作为html代码执行。
如何阻止它执行代码,只需查询简单文本。
答案 0 :(得分:2)
在使用之前,您需要清理服务器上的输入。这对于防止SQL注入攻击也很重要。
如何执行此操作取决于您使用的服务器端语言。
对于PHP,
请参阅:http://php.net/manual/en/function.strip-tags.php
请参阅:http://www.bitrepository.com/sanitize-data-to-prevent-sql-injection-attacks.html
答案 1 :(得分:0)
您应该更改html中的某些字符,以便浏览器不会将其识别为html。因为php htmlspecialchars()
符合您的目的(http://php.net/manual/en/function.htmlspecialchars.php)。
附:希望在将输入插入数据库之前对输入进行验证。