在存储到数据库之前清理输入

时间:2016-01-18 07:10:40

标签: php html htmlspecialchars addslashes

首先,我有一个接受用户输入的html编辑器。我想在数据库中存储普通的html标签,并且还要提供出现的引号(sql注入)。

例如,

$input = "<h1><strong><span style="font-size:36px">I'm waiting</span></h1>";

我需要仅在我等待时提供引用,而不是在存储到数据库之前出现在html标记之间的引号。有什么建议的方法吗?

  

ps:在这种情况下,请使用准备好的语句忽略PDO(或mysqli)。

1 个答案:

答案 0 :(得分:-1)

您应该使用http://php.net/manual/en/function.mysql-real-escape-string.php来确保不会对您进行SQL注入。