从包含<pre><code>文字的文本区域保存数据的最安全方法是什么? ,使用strip_tags将删除文本中的所有标记..
保存使用它:
strip_tags($input, '<pre><code><other accepted tags except script,php,...');
还是我应该做其他事情?
答案 0 :(得分:2)
从包含
<pre><code>文字的文本区域保存数据的最安全方法是什么?
保存原样。
当您从数据库中取出数据并将其放入网页时,请首先在其上调用htmlspecialchars以使其脱离,以使其看起来像页面上的普通文本。
如果您希望用户能够输入实际标记,但您只想允许某些标记,那么您会遇到不同的问题,并且您想要{{3 }}
无论哪种方式,输入或数据库层都不是担心输出格式问题的正确位置。
答案 1 :(得分:1)
如果要将文本区域的内容保存到mysql数据库,则应使用mysqli_escape_string。在保存数据之前。
您还可以使用正则表达式从发布的数据中删除javascript标记。例如preg_replace