阻止用户向字段添加html或javascript的最安全方法是什么。我正在添加一个youtube风格的“描述”,用户可以在其中解释他们的工作,但我不想要除了纯文本之外的任何内容,并且最好没有像'<'那样的htmlentities垃圾。或'>'。
我可以这样做:
$clean = htmlentities($_POST['description']);
if ($clean != $_POST['description']) ... then return the form with an error?
答案 0 :(得分:5)
你见过strip_tags吗?
答案 1 :(得分:3)
strip_tags()可能是最好的选择。
您无需检查已清理的代码与原始代码并抛出错误。只要清洁它,您就应该能够显示它。扔掉原来的评论。您可以在文本框下面添加一条说明,如果您想让其更加用户友好,则不允许使用HTML。
答案 2 :(得分:2)
使用strip_tags()代替htmlentities()
方法还可以。
答案 3 :(得分:1)
htmlspecialchars(),如果使用得当(请参阅评论),是确保纯文本的最安全方式。当输出包含所有HTML特殊字符转义时,无法注入任何HTML或JavaScript。如果您使用strip_tags,则会阻止您的用户使用完全合法的字符。
答案 4 :(得分:0)
如果要在MySQL中存储数据,也不要忘记mysql_real_escape_string()。