我有一个文本表单字段,用户输入我的注释.然后我使用PHP/MySQL数据库来存储这些条目.如何阻止某人将HTML输入文本字段?
不对文本做任何事情,只需在输入时存储即可.
原因是,也许你要添加看起来像html但实际上不是的内容.例如
我正在更新网站错误,我不得不添加一些<br>标签让内容向下移动.
您所做的是将内容存储在数据库中,确保您为了SQL注入目的而逃避数据,然后在输出到浏览器时,您应该使用htmlentites转义内容,如下所示:
<div id="notes">
<?php echo htmlentities($row['note']) ?>
</div>
这样,html标签对实际DOM没有任何影响,因为转义时,DOM中的所需输出应如下所示:
我正在更新网站错误,我不得不添加一些
< br >标签,让内容向下移动.
用户实际上会看到<br>纯文本
希望这可以帮助.