Question

我是使用php编程的新手。我做到了：有一个用户写文本的textarea，它保存到db。但是在列出条目时，带有html标签的文本显示为html元素。

例如，“我＆lt; b＆gt; 25＆lt; / b＆gt;岁”显示“我 25 岁”。

我想将其显示为用户在textarea上写的内容，而不是应用html规则。因此，用户不能断开多行。

如何避免所有html属性？是否有任何功能或其他东西可以帮助我？

Answer 1

运行发布的内容

$var = htmlentities($old_var);

注意：您还应确保自己不会受到SQL injection的攻击。</ p>

Answer 2

将其保存到数据库，但要转义用户的每个值以避免mysql注入。

示例：

$sqlaction = mysql_query("INSERT INTO posts (text) VALUES ('".mysql_real_escape_string($_POST['text'])."')");

如果你想在页面上显示它，请使用如下的htmlentities：

<div><?php echo htmlentities($row['text']); ?></div>