标签: php html sql xss
我正在建立一个人们会发表文章的网站。 我让他们在textarea写他们的文章,但我不希望他们添加javascript,php或任何其他语言而不是html,以防止XSS或SQL注入。 我试图删除用户在表单中编写的javascript或php代码 我怎么能这样做?
答案 0 :(得分:0)
只删除所有<script>标记,不要执行<textarea>元素中的字符串(并仅使用单引号)。针对SQL注入,您可以使用mysqli_real_escape_string来转义所有SQL特殊字符。
<script>
<textarea>
mysqli_real_escape_string