在PHP中接受用户输入的编程代码,将其存储在数据库中并使用HTML预标记显示回来的最安全的方法是什么?
我目前将输入转换为HTML实体,但我认为它不会那么容易......
有什么建议吗?
答案 0 :(得分:5)
编程代码只是文本;如果没有执行,就不会有任何伤害。
这意味着您需要关注:
保护您的数据库免受SQL注入。这可以通过转义输入字符串(mysql_real_escape_string()
)或使用预准备语句来完成。
保护您的用户免受XSS攻击。这可以通过将代码转换为html实体(即:使用htmlspecialchars()
)来完成,因此潜在的恶意标记(即:<script>
)将转换为文本(例如:<script>
)。