在php代码中使用HTML代码安全吗?
我在php中使用HTML代码,如下所示:在php代码中使用HTML代码安全吗?,php,html,Php,Html,我在php中使用HTML代码,如下所示: echo '<span class="input-group-addon"><i class="glyphicon glyphicon-pencil w3-large" name="topic_subject"> subject</i> </span> <br />
echo '<span class="input-group-addon"><i class="glyphicon
glyphicon-pencil w3-large" name="topic_subject"> subject</i>
</span>
<br />
<textarea name="post_content" id="editor1"></textarea>
<br />
<div class="w3-col s1 m1 l1"><p></p></div>
<div class="w3-left">
<button class = "w3-button w3-xlarge tableButtons w3-middle"
id="save">save</button>
<a onclick="history.go(-1);" class="w3-button w3-xlarge
tableButtons w3-left">cancel</a>
</div>
</form>';
echo”主题
拯救
取消
';
这就是安全还是不安全?这应该是非常安全的,因为您只是在输出代码。但是,如果您获取代码并将其存储在数据库中,则应使用
mysql\u real\u escape\u string()只是要明确一点,这是一个非官方的意见,如果一些疯狂的新黑客出来,不要怪我!哈哈确实安全,但不是因为你使用单引号。回显此字符串的结果与生成普通html页面的结果相同。只要知道输出的内容,从php输出html通常是安全的
但是,在发布html字符串时,使用单引号确实提供了一个优势,这是因为使用单引号时,html中没有双引号的转义 例如:
echo'将变成echo”“如果要使用双引号
直接使用html表单中的数据进行查询或筛选的风险更大,因为它容易被SQL注入。有关它是什么以及如何防止它的更多信息,我想向您介绍。当我在数据库中存储数据时,我使用预处理语句,因此我认为不使用mysql是安全的。\u real\u escape\u string()警告:您使用的是从最新版本的PHP中完全删除的语句。你应该用一个。对不起,你说得很对,我不知道我是怎么想的。编辑后的“使用单引号确实在发布html字符串时提供了一个优势,这是因为使用单引号时,您没有在html中转义双引号的能力”-将“single”的每个实例都替换为“double”,这同样有意义。小的更正,使用mysqli\u real\u escape\u string(),mysql已被弃用。您的代码是100%安全的,不要担心,当您只想在页面上打印文本时没有问题。我投票将此问题作为离题题结束,因为它要求代码审查(因此这太广泛/基于观点)。它可能会被调整为主题。安全在什么事情上?用PHP的方式,是的,因为您只是回显一个字符串。