Php 不允许在文本字段中使用字符
如果我不允许使用诸如“,”,>,之类的字符,则无需限制任何内容。问题是,您必须清理所有用户输入;对于这种特定类型的数据(可能是HTML),在将其显示为页面的一部分之前,对所有用户提供的数据使用它是必要的,并且已经足够了 例如,如果表单有一个名为Php 不允许在文本字段中使用字符,php,security,special-characters,Php,Security,Special Characters,如果我不允许使用诸如“,”,>,之类的字符,则无需限制任何内容。问题是,您必须清理所有用户输入;对于这种特定类型的数据(可能是HTML),在将其显示为页面的一部分之前,对所有用户提供的数据使用它是必要的,并且已经足够了 例如,如果表单有一个名为post-body的文本区域,则应接收用户输入(例如,使用$\u请求['post-body']),并将其按原样保存到数据库中(警告:在此阶段使用或保护自己免受SQL注入!)。当需要显示它时,您可以从数据库中检索它,并使用以下内容打印它 echo htmls
post-body
的文本区域,则应接收用户输入(例如,使用$\u请求['post-body']
),并将其按原样保存到数据库中(警告:在此阶段使用或保护自己免受SQL注入!)。当需要显示它时,您可以从数据库中检索它,并使用以下内容打印它
echo htmlspecialchars($postBody);
有关数据清理的更多背景信息,请参阅。每次输出用户数据时,都应按函数清理用户数据,以避免出现错误 此外,要在sql查询中处理用户数据,请使用和准备语句或函数以避免..
不要将角色列入黑名单,而是将其列入白名单。
<? $string = str_replace("\\\"", "\"", $string);
$string = htmlspecialchars($string);
$string = preg_replace( "/\r\n|\n|\r/", "<br>", $string ); ?>
<input type = "text" name = "string" id = "string" value = "<?=$string?>">