Php 邮购表格

我有一个表单问题，并提交到另一个.PHP文件

当我试图发布到我的数据库时，我得到一个禁止的错误。它在大多数情况下都会工作，但当我尝试发布“http://”链接时，会出现以下错误：

This is a test.<div><br></div><div>I wonder if it will work.&nbsp;</div>

这是一个测试。
我想知道它是否有效。

如果上面的代码没有br，则可以工作，我使用的是所见即所得编辑器。但这种用法发生在所见即所得之前，带有某些词语

不确定其文件权限是“0644”还是服务器本身。但我想解决这个问题。 谢谢

---

我想我不能用两个标签。例如

TestTest

，但可以使用

test

尝试使用以下内容过滤帖子字符串：

htmlspecialchars(mysql_real_escape_string($_POST['data']));

---

在您尝试将其插入数据库之前。

执行HTML转义的正确位置是在使用数据时，而不是在存储数据时。我仍然有相同的问题。@ThiefMaster，不是真的：在保存到数据库之前执行HTML转义可以避免许多sql注入攻击。HTML转义和sql注入完全无关。为了避免SQL注入，通常必须使用双单引号替换单引号，或者根据系统的不同使用反斜杠作为前缀。当html-escaping时，这两种情况都不会发生。您是否在任何地方看到

htmlspecialchars

？我不。如果你搞糊涂了：我只是在说这个函数

mysql\u real\u escape\u string

显然是必需的，除非您使用准备好的语句/PDO（您应该这样做）链接的源代码中包含引号。难道你不以任何方式逃避sql吗？请看