如何接受编程代码输入用于显示目的?

时间:2010-09-27 22:53:17

标签: php html xss sql-injection html-entities

在PHP中接受用户输入的编程代码,将其存储在数据库中并使用HTML预标记显示回来的最安全的方法是什么?

我目前将输入转换为HTML实体,但我认为它不会那么容易......

有什么建议吗?

1 个答案:

答案 0 :(得分:5)

编程代码只是文本;如果没有执行,就不会有任何伤害。

这意味着您需要关注:

  • 保护您的数据库免受SQL注入。这可以通过转义输入字符串(mysql_real_escape_string())或使用预准备语句来完成。

  • 保护您的用户免受XSS攻击。这可以通过将代码转换为html实体(即:使用htmlspecialchars())来完成,因此潜在的恶意标记(即:<script>)将转换为文本(例如:&lt;script&gt;)。