我正在制作一个网站,人们将在那里发表文章。我让他们在文本区写文章,但我不希望他们添加javascript, php或html以外的任何其他语言来防止XSS或SQL注入。我试图删除javascript或php代码的形式编写的用户我该怎么做呢?
只是剪掉所有的<script>
标签,不执行<textarea>
元素的字符串(并且只使用单引号)。针对SQL注入,您可以使用mysqli_real_escape_string
来转义所有SQL特殊字符。
我正在制作一个网站,人们将在那里发表文章。我让他们在文本区写文章,但我不希望他们添加javascript, php或html以外的任何其他语言来防止XSS或SQL注入。我试图删除javascript或php代码的形式编写的用户我该怎么做呢?
只是剪掉所有的<script>
标签,不执行<textarea>
元素的字符串(并且只使用单引号)。针对SQL注入,您可以使用mysqli_real_escape_string
来转义所有SQL特殊字符。