我创建了一个非常基本的评论系统,允许用户发表评论。问题是某些恶意用户可能会尝试在评论中编写一些HTML或JavaScript。如果评论发布,JavaScript是否可以在其他用户的设备上运行?当我检查服务器端的注释时,我可以处理JavaScript。
但是,我仍然不知道如何在评论中处理PHP。让我们说有人在评论中包含一个PHP脚本。我认为只要我开始解析我的服务器上的评论以删除恶意内容。注释中的PHP脚本将开始运行并弄乱整个事情。我是对的吗?
有什么方法可以在评论中清理PHP吗?如果用户在我的服务器上运行的评论中发布的PHP不会出现问题吗?
让我们说用户输入以下评论:
unlink(glob(*.php));
我在评论解析脚本中执行以下操作:
$comment = $_POST['comment'];
我遇到了麻烦吗?
我是否明确提出问题?如果我需要添加任何内容,请告诉我。