我已编写并使用以下函数删除任何不安全的标记以防止跨站点脚本 - XSS ::
function xss_clean_input($data) {
if(is_array($data)) {
$arr_temp = array();
foreach($data as $key => $val) {
$temp_val = trim($val);
$temp_val = filter_var($temp_val, FILTER_SANITIZE_STRING);
$arr_temp[$key] = $temp_val;
}
return $arr_temp;
}else {
$data = trim($data);
return $data = filter_var($data, FILTER_SANITIZE_STRING);
}
}
但是这个函数也从WYSIWYG编辑器中删除任何有效且安全的html,例如它剥离了这个
<html><body>This is great</body></html>
到这个
This is great
注意::我不想使用正则表达式