我已经使用http://php.net/pdo,所以我可以从用户输入中获得任何我想要的,我将它以安全的方式存储在我的数据库中。
现在我想将数据库中的内容显示到Web页面中。我如何构建一个Web页面,以确保页面显示时不会执行JavaScript或其他东西?
对不起,我很累,我已经工作了12个小时了,如果有人能纠正我在发布我的问题时所犯的错误…
htmlentities(stripslashes($stmt_result->data), ENT_QUOTES, 'UTF-8');
htmlentities()将像>这样的字符编码为>
, stripslashes()将从转义字符串中删除反斜杠。
在从数据库输出文本之前使用htmlentities
您需要使用striptags()
和htmlentities()
。但是,仅仅删除<script>
块是不够的,因为您仍然需要担心onWhatever=""
标签属性。