2
我有一個允許用戶輸入文本的輸入,然後使用PHP將其發送到另一個頁面,並存儲在數據庫中。我做了一些簡單的驗證(檢查輸入是否爲空),並且工作得很好。但是,我發現我可以輸入HTML標記,例如不允許用戶在輸入中輸入HTML標籤
<p>
並且它繞過驗證並混淆輸入。
如何檢查輸入是否包含HTML標記,如果是,則返回錯誤?
A
回答
2
要檢查試試這個:
if(preg_match('#^<.>.+</.>$#', $your_value)){
echo "NOT GOOD"; // and some error too
}
3
你可以這樣做:
<input type='text' pattern='[a-zA-Z0-9]+'>
,可以確保只有字母和數字可以去,不會提交如果別的是裏面輸入。
然而,這僅僅是良好的客戶端,並且將只對IE9 +
工作,這也不是用於驗證的最好方法,如果有人知道他們在做什麼。他們所要做的就是進入源代碼來取出pattern屬性,但對於那些不知道的人來說,這樣可以。
對於PHP,您可以使用strip_tags()。 Found here
2
在插入數據庫之前,您可以簡單地使用htmlspecialchars或strip_tags。
您還可以使用mysqli_real_escape_string或PDO::quote爲安全字符串
相關問題
- 1. HTML輸入不允許號
- 2. 只允許某些HTML標籤的用戶輸入
- 3. 允許HTML輸入標記和值wysihtml5
- 4. ComboBox不允許用戶輸入
- 5. 不允許用戶輸入管道字符'|'輸入形式Angular
- 6. 用戶輸入,不允許相同的輸入兩次
- 7. 允許用戶在選擇輸入中更改輸入選擇輸入
- 8. 允許用戶只輸入特定標籤
- 9. 爲什麼輸入標籤不允許直接在表單標籤中使用?
- 10. HTML表單不允許輸入空格
- 11. 允許在UITableViewCell中輸入
- 12. HTML文本輸入不允許輸入文字
- 13. HTML輸入標籤,無法輸入
- 14. 防止輸入提交表單,允許在輸入中輸入
- 15. 不允許輸入標點符號
- 16. 如何允許用戶輸入java
- 17. 允許用戶選擇輸入
- 18. 允許用戶輸入變量(Python)
- 19. 允許用戶只輸入文本?
- 20. 允許用戶跳過輸入輸入,只需按Enter鍵
- 21. 允許用戶輸入地點的名稱而不是座標
- 22. 允許輸入簽名的.NETCF組件
- 23. 如何在輸入開始之前允許用戶輸入不受阻塞?
- 24. 爲什麼輸入標籤在「值」屬性中輸入用戶輸入
- 25. 不允許用戶在一個字段中輸入數字
- 26. asp.net Bootstrap不允許擴展輸入標籤的寬度
- 27. HTML輸入標籤onSubmit
- 28. PHP MySQL輸入HTML標籤
- 29. HTML表和輸入標籤
- 30. 限制HTML輸入只允許粘貼
怎麼樣用strip_tags? – user1844933
使用strip_tags http://www.php.net/strip_tags – Hassan