在输入/文本区域内编写HTML/PHP代码
我发现,如果用户在输入php/HTML代码中写入代码,代码将在我的管理面板中显示。这会损坏我的系统吗?如果是,我如何禁用它在输入/文本区域内编写HTML/PHP代码,php,html,Php,Html,我发现,如果用户在输入php/HTML代码中写入代码,代码将在我的管理面板中显示。这会损坏我的系统吗?如果是,我如何禁用它 我将感谢您的回答 您可以使用删除HTML和PHP标记 <?php $text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>'; echo strip_tags($text); ec
我将感谢您的回答 您可以使用删除HTML和PHP标记
<?php
$text = '<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>';
echo strip_tags($text);
echo "\n";
// Allow <p> and <a>
echo strip_tags($text, '<p><a>');
?>
Test paragraph. Other text
<p>Test paragraph.</p> <a href="#fragment">Other text</a>
来源:是的,它肯定会影响项目,不仅影响html和PHP,还影响SQL查询和JavaScript代码 为了预防,您必须使用JavaScript或jQuery验证输入。始终过滤来自应用程序外部的数据是一个很好的做法。我指的是应用程序的每一个输入。程序员必须特别注意对数据库执行查询的方式。因为数据库查询也可以使用来自用户或更一般地来自应用程序外部的参数进行 在用于运行查询或保存到数据库之前,请从输入中删除所有HTML标记。 在运行数据库查询之前,请特别注意查询和输入参数的格式设置,以避免SQLinjection 关于它的一篇有趣的文章: 赛博安全性是一个非常广泛的话题,我不认为它可以用一个答案来表达 处理此主题需要越来越多的IT需求,例如了解编程
这个答案旨在作为深化主题的起点这不会自动发生。你必须先编写一些代码才能实现它!!我想您提到了一种SQL注入,但您提供了更详细的信息,非常感谢!我现在也研究了一点。您对htmlspecialchars$text有何看法?如果您希望在站点中可视化html或脚本代码(例如堆栈溢出),htmlspecialchars$text将非常有用。此函数不删除html标记,而是将其替换为特殊字符。因此,浏览器会解释这个字符,并向您显示不执行它的代码。
strip_tags ( string $string , array|string|null $allowed_tags = null )