我正在创建一个网页,该网页将允许用户粘贴他们的代码,并为其提供一个唯一的URL以便稍后访问。问题是我正在使用
mysql_real_escape_string($_POST['code'])
为了防止sql注入,但同时它会在代码中添加斜杠,这意味着当代码稍后显示时,它会被破坏(到处都是斜杠)
当再次显示代码时,有没有办法"取消转义"它?
很抱歉,如果这看起来不清楚或明显,这是我第一个使用php的项目。
它是echo stripeshases($code);你在找什么?我认为为了增加安全性,您还必须喜欢将特殊字符转换为html实体,并在必要时剥离所有脚本标记,以避免xss攻击。
参见:
http://php.net/manual/en/function.htmlentities.php
PHP 中的XSS过滤功能