如何安全地顯示用戶提交的文本？

-2

我有一個帶有用戶可以編輯的文本字段的表單，它將在包含輸入文本的網站上創建一個頁面。我怎樣才能確保生成的頁面不顯示任何惡意，沒有鏈接，圖像或代碼，只是原始文本？目前從PHP我使用htmlspecialchars（），並在頁面上顯示文本時，它是在xmp標籤。這足夠了，還是我應該明確地做一些事情來驗證腳本標記等？如何安全地顯示用戶提交的文本？

編輯：這個問題是不同於建議的問題，因爲我沒有使用SQL。

編輯2：我接受了strip_tags。我現在使用htmlspecialchars（strip_tags（「input」））從php驗證用戶輸入，並在顯示時包裝在xmp標記中。

來源

2015-05-17 jimmy

歡迎，無論如何，你進入這個網站，只是查看這個Q＆A這是最受歡迎的網站之一... http://stackoverflow.com/questions/60174/how-can-i-prevent -sql -injection-in-php – user1844933

謝謝。我沒有使用sql，所以你鏈接的問題不是很有用。 – jimmy

然後strip_tags是最終的解決方案... – user1844933

您可以使用strip_tags - 它將刪除標籤中的所有內容。 http://php.net/manual/en/function.strip-tags.php

來源

2015-05-17 11:59:25 user2182349

謝謝，我現在在做htmlspecialchars（strip_tags（「text」））作爲php驗證。 – jimmy

首先：使用準備statments爲你的數據庫存儲，更新等等...

二：你應該使用htmlspecialchars()功能逃避輸出，它只是將轉換特殊字符爲HTML實體，所以如果你在那裏放置一個腳本標籤，它將不會運行。

除非您希望您的用戶像在這裏一樣在StackOverflow中發佈代碼，否則您可以使用strip_tags()函數作爲@ user2182349指出的內容。

來源

2015-05-17 11:58:58 Akar

如何安全地顯示用戶提交的文本？

回答

相關問題