0
以下是問題場景。我有一個用戶可以輸入評論的文本框。但是,如果它們包含HTML標記或<A HREF='javascript:window.alert("Example of a link that displays an alert box");'> link </A>
,並且當註釋從MySQL數據庫輸出到頁面上時,它們實際上會執行。我正在尋找一種方法來防止這種情況發生,並且只允許使用一些HTML標記(如粗體,斜體,下劃線)。我用我的評論此功能發送從textarea的評論前TextArea數據在存儲於MySQL之前進行消毒
存儲在MySQL數據庫上:
function sanitize($data)
{
// remove whitespaces (not a must though)
$data = trim($data);
// apply stripslashes if magic_quotes_gpc is enabled
if(get_magic_quotes_gpc())
{
$data = stripslashes($data);
}
// a mySQL connection is required before using this function
$data = mysql_real_escape_string($data);
return $data;
}
不支持的標籤應該如何處理?按原樣顯示或刪除? – 2011-02-17 10:58:09
按原樣顯示,以免從評論 – Hirvesh 2011-02-17 11:00:00