我試圖保護自己免受SQL注入和正在使用:解碼mysql_real_escape_string(),用於輸出HTML
mysql_real_escape_string($string);
在發佈HTML,它看起來是這樣的:
<span class="\"className\"">
<p class="\"pClass\"" id="\"pId\""></p>
</span>
我不知道real_escape_string增加了多少其他變體,所以不想只替換一些而錯過其他變體......我如何將它解碼爲正確格式化的HTML,如下所示:
html_entity_decode(stripslashes($string));
如果用戶可以控制$ string,那麼這是一個XSS漏洞。 – rook 2010-04-16 18:17:18