我正在构建一个php cms,内容将从mysql数据库中提取。如何转义带有HTML标记的内容?何时执行此操作?
我只是不确定如果只有"受信任"的用户才能添加内容,这对主页内容字段来说是一个多大的问题。
提前非常感谢;)
输出数据时,您可能希望在数据上使用类似htmlenties()函数或strip_tags()函数的东西。
不过,第一个防御是你所期望的唯一接受日期。例如,如果它是表单中的Name:字段,则只接受字母、空格、'、-和其他几个字符。在检查数据格式是否正确之前,不要将数据添加到数据库中。
网站上的大多数表单字段不需要像<和>,所以在不检查数据格式是否正确的情况下,不要让数据添加到数据库中。如果您期望的是一个正整数,如数字1,2,3,4…等等,在满足这些要求之前,不要让脚本继续执行。