如何阻止文本输入中的所有html和javascript标记?
我的代码是:
$pav = stripslashes($_POST['pavadinimas']);
$pav2 = mysql_escape_string($pav);
但它不会阻止html和javascript标签
答案 0 :(得分:2)
删除这两个调用:stripslashes()在这里没有任何好处,只有在将数据插入mySQL查询之前才应使用mysql_real_escape_string()。
执行htmlspecialchars()(如果您想保留HTML源代码,但让标签可见)或strip_tags()(只是消除HTML)。
答案 1 :(得分:0)
您必须使用htmlspecialchars()或strip_tags()(用于删除而不是转换)
$html = "<b>Test</b> <strong>Lol</strong>";
echo htmlspecialchars($html);