清理代碼博客的輸入

Question

我有一個代碼博客，其中有一個提交用戶輸入表單。無論這種形式如何，都會出現在其中一頁上。現在這是一個編碼博客，所以我不想從輸入中去掉任何HTML標籤或javascript代碼，但我不希望它在任何時候都執行。什麼是最好的方式來使任何輸入無害？用>代替<由<和>足夠嗎？

（對信息，服務器將GAE，輸入將圍繞在Python變量傳遞（但從未進行評估），並將其存儲在TextProperty）

Answer 1

是，更換<和>應該是足夠

Answer 2

最好的辦法是簡單地將後端的值轉義爲安全輸入到存儲引擎中，並使用HTML實體輸出它們，以便將它們顯示爲代碼。