0
我應該不允許的字符,如」,「,>,<,\ ...在一個上傳表單文本字段中鍵入?文本將通過PHP被髮送到博客。不允許字符
我heared一些字符可能造成麻煩,並且可以用來「劈/傷害」服務器,這些服務器。字符應限制?
感謝您的輸入。 邁克爾
Q
不允許字符
A
回答
1
沒有必要限制任何東西。在問題是你必須消毒所有的用戶輸入;對於這種特定類型的數據(可能的HTML),在將所有用戶提供的數據顯示爲頁面的一部分之前,使用htmlspecialchars是必要且足夠的。
例如,如果在窗體中有一個名爲post-body textarea的,你應該接受用戶輸入(與$_REQUEST['post-body'] EG),並將其保存到你的數據庫,是(警告:使用mysql_real_escape_string或PDO保護自己免受SQL在這個階段注射!)。到時候來顯示它,你會從數據庫中檢索,並與打印的東西像
echo htmlspecialchars($postBody);
見this question對數據的消毒一些背景。
0
用戶數據每次輸出用戶數據時都應該通過htmlspecialchars函數進行消毒,以避免XSS-attacks。
另外,要在sql-queries中使用用戶數據,請使用PDO並準備好語句或mysql_real_escape_string函數以避免SQL-injection。 Example。
+0
感謝您的寶貴意見。 – Michael
0
<? $string = str_replace("\\\"", "\"", $string);
$string = htmlspecialchars($string);
$string = preg_replace("/\r\n|\n|\r/", "<br>", $string); ?>
<input type = "text" name = "string" id = "string" value = "<?=$string?>">
相關問題
- 1. CSS允許/不允許字符
- 2. 不允許的字符笨
- 3. 只允許數字字符
- 4. 如何允許不允許的密鑰字符。在Codeigniter中?
- 5. EF6 - 註釋允許空字符串,但不允許爲null
- 6. 不允許以下字符:〜%^ * = [{}] |; <>
- 7. Robot.txt特殊字符不允許
- 8. 不允許的關鍵字符
- 9. 笨 - 不允許的按鍵字符
- 10. 不允許的密鑰字符
- 11. CodeIgniter:不允許的關鍵字符
- 12. 的iFrame HTML不允許空格字符
- 13. 重定向不允許的字符
- 14. codeigniter不允許使用字符錯誤
- 15. SSH.NET不會允許這個字符串
- 16. 笨 - URI不允許的字符
- 17. CodeIgniter中不允許的字符
- 18. Codeigniter - URI不允許的字符
- 19. 不允許一個下面的字符
- 20. 輸入文本框字段只允許字符不允許數字,但允許空間?
- 21. Base64加密允許字符
- 22. 只允許ASCII字符VBA
- 23. 與允許的字符
- 24. 只允許小寫字符
- 25. CookieDecoder中允許的字符
- 26. 允許在字符名C++
- 27. 只允許某些字符
- 28. 只允許8個字符
- 29. 允許小數點/句點輸入字段允許的字符
- 30. 如何允許輸入文本和數字,但不允許特殊字符?
不要黑名單字符。將他們列入白名單。 –
對不起,這是什麼意思? – Michael
http://en.wikipedia.org/wiki/Whitelist –