1. 首頁
  2. 問答
  3. 最好的方法去除危險的html標記,mysql注入,並在php中保留'good'標記

最好的方法去除危險的html標記,mysql注入,並在php中保留'good'標記

2014-01-29 14 views
0

我正在尋找從網頁過濾輸入html文本並過濾它保留文本格式和剝離的最佳方法讓我們說標籤和其他危險標籤,並仍然阻止mysql注入。最好的方法去除危險的html標記,mysql注入,並在php中保留'good'標記

例如:

INPUT

<p>I'm new here and i dont know much about php programming</p> 
<a href='maliciousWebsite.com'>Click here!</a> 
'MYSQL INSTRUCTIONS TO GET THE WHOLE DB

輸出

<p>I'm new here and i dont know much about php programming</p>

謝謝大家,

來源

2014-01-29 Ivan

+0

有沒有像最好的辦法......可能是一種方式比其他更好 –

+1

我不認爲有必要先考慮安全性,而我們不知道任何編程語言的一般功能...... –

+1

考慮安全性總是好的......但在確實存在安全問題之前,需要一個可行的在線產品:-) –

回答

2

利用strip_tags()allowable標籤參數,讓neccessary內容你真的想插入你的t能夠。

爲了顯示目的只是利用htmlspecialchars()htmlentites()

$yourHTMLdata = '<p>I'm new here and i dont know much about php programming</p> 
<a href='maliciousWebsite.com'>Click here!</a> 
'MYSQL INSTRUCTIONS TO GET THE WHOLE DB'; 

echo htmlentites($yourHTMLdata);

即使是<script>標籤不會受到影響,你會不會XSS'ed

來源

2014-01-29 10:09:25

相關問題

 相關問題