我知道有很多类似的问题;但是,没有一个正确地完全回答我的问题。
我允许用户将格式化HTML添加到文本字段(strong,ul,li)。然后我需要安全地显示,避免任何XSS等。
旁注:使用预先准备好的陈述。
我应该使用htmlentities()(或htmlspecialchars)从表单编码我的HTML并将其输入数据库。我也不相信使用html_entity_decode($ html);会保护我免受XSS攻击吗?
我可以运行strip_tags();在MySQL中输入之前。我不确定这是最好的吗?
如果我允许用户将HTML输入到MySQL并使用htmlentities()来显示,我想渲染HTML现在显示它。