【发布时间】:2016-04-23 06:53:45
【问题描述】:
首先,我有一个接受用户输入的 html 编辑器。我想将纯 html 标签存储在数据库中,并满足出现的引号(sql 注入)。
例如,
$input = "<h1><strong><span style="font-size:36px">I'm waiting</span></h1>";
我只需要满足 我正在等待 的引用,而不是在存储到数据库之前出现在 html 标记之间的引用。有什么推荐的方法吗?
ps:在这种情况下,请忽略带有准备好的语句的 PDO(或 mysqli)。
【问题讨论】:
-
您尝试使用
htmlentities() -
你从数据库收到了什么??
-
为什么要区别对待html标签和中间的文本。它们都是用户输入,也是 sql 注入的安全风险
-
不使用任何转义函数/准备好的语句,除此之外的任何东西都会让您面临 SQL 注入。
标签: php html htmlspecialchars addslashes