1
A
回答
2
最简单的方法是用<
和>
替换<
然后用>
替换,然后将帖子插入到数据库中。
这是基本的出发点,您可以将某些标签列入白名单并稍后展开,但这样可以保护您免受任何HTML注入的侵害。
或者,您可以使用某种HTML编码功能来清理输入。
1
-1
您需要了解input sanitization。
0
如果你想阻止他们使用任何HTML 在所有的,你可以使用htmlspecialchars()
。在存储到数据库之前或在输出页面之前,您可以选择是否这样做(大多数人会建议在使用输出之前立即清理输出,即输出页面时)。
+2
我不同意这种说法。如果您在进入数据库之前进行清理,那么这是一次性操作。如果您在输出时进行清理,则每次使用数据时都必须执行清理。 – syrion 2011-04-05 15:01:03
0
您可以使用 strip_tags 来消除所有标记。
如果你只剥去<
与<
和>
与>
你会以很多垃圾进入存储的数据库条目。
但是,如果你是一个论坛,也许你应该实现一个特定的方法,让你的用户个性化一点点他们的帖子,一拉计算器..
您可以创建一个特殊的词表,或只是让一些标签。检查this site。
相关问题
- 1. 如何使回复评论引用评论的ID在论坛
- 2. 如何阅读别人的论坛
- 3. 在网页上的评论论坛
- 4. fb:comments - 如何评论评论
- 5. Disqus - 让我的论坛
- 6. HTML评论Extracter
- 7. phpBB3 - 创建论坛类别
- 8. 论坛类别的问题
- 9. Drupal 6:没有论坛索引页面(高级论坛)
- 10. 如何评论XSLT而不是HTML
- 11. 如何使用Django的评论框架评论评论
- 12. 如何将论坛讨论索引为搜索?
- 13. 如何批量评论gerrit评论?
- 14. 搜索引擎机器人抓取论坛如何?
- 15. HTML评论分解
- 16. HTML评论标记
- 17. 内从论坛加入由
- 18. 如何禁用vBulletin论坛?
- 19. PHP - 如何查询论坛?
- 20. 在论坛索引页面上将最新的评论主题置于顶端
- 21. 要获取SQL的最新评论日期 - 论坛
- 22. ASP.NET MVC论坛?
- 23. CouchDB的论坛?
- 24. NoReverseMatch在/论坛/
- 25. nofollow在论坛?
- 26. 刮phpbb论坛
- 27. Spark视图引擎中的HTML评论
- 28. 评论引擎喜欢讨论
- 29. 香草论坛SSO的PHP不登录到论坛
- 30. Facebook评论:全部评论
inpuit sanitazation是一个矛盾 - 问题是输入验证和输出santitization – symcbean 2011-04-05 15:06:03
消毒是验证的一种形式。请参阅OWASP:http://www.owasp.org/index.php/Data_Validation#Sanitize – syrion 2011-04-05 15:08:55