我有一个博客系统,随机的人可以发表评论。如果顽皮的人试图发布Javascript,就会发生这种情况:
bla bla <script>alert("Hacked")</script>
变成
bla bla <script>alert("Hacked")</script>
我希望帖子能够保持代码不变,以防万一有人需要发布HTML。如何使第二行看起来像第一行,而不实际做任何事情?我过滤它的当前方式是:
$safeMessage = htmlspecialchars($reply['message'], ENT_QUOTES | ENT_HTML401, 'UTF-8');
echo "$safeMessage";