那些遇到过的问题

指定要解释为纯文本的页面的某些部分

sas*_*har 2 html php mysql

我是网络开发的初学者,我正在开发一个网站,允许用户发布各种讨论,其他人评论和回复.我面临的问题是,用户几乎可以发布任何内容,包括代码片段以及可能包含单引号,双引号甚至某些html内容的任何其他内容.

当这些帖子被发布时,它正在干预MySQL插入查询,因为引号正在结束字符串,因此查询失败.即使我使用php显示字符串,浏览器也会将字符串解释为html,我希望它被解释为文本.我是否必须手动解析输入字符串并转义所有特殊字符?还是有另一种方式?

Joh*_*hnP 5

你需要阅读一些内容

SQL注入 - 什么是SQL注入以及如何防止它

PHP PDO - 使用PHP PDO可降低注入风险

ヶ辆

基本前提是,清理所有正在输入的输入并对所有输出内容进行编码.不要相信任何用户输入.

如果可能,白名单而不是黑名单.

编辑:

我想在那里显示HTML或其他代码内容,用户需要使用标记标记这些区域<pre>.或者您可以使用降价变体等格式进行格式化.

归档时间:

查看次数:

74 次

最近记录:

8 年,7 月 前
什么是SQL注入? 91
更多相关链接
相关归档
在PHP中从空值创建默认对象? 342
如何使<label>和<input>出现在HTML表单的同一行? 75
在php中有单引号与双引号的性能优势吗? 57
如何将时间戳附加到<script>标记网址中的javascript文件以避免缓存 29
除了LI之外的任何东西都可以在UL中使用吗? 26
如何将Yoast wordpress插件添加到laravel 23
在JavaScript/JQuery中将HTML元素转换为字符串 22
导入CSV以更新表中的行 20
网页聚焦时的事件 17
Firebase FCM令牌 - 何时发送到服务器? 17
难疑归档
检查shell脚本中是否存在目录 3556
是否有唯一的Android设备ID? 2645
确定已安装的PowerShell版本 2543
如何在Git中检索当前提交的哈希值? 1788
JavaScript中==和===之间的区别 1592
修复一个Git分离的头? 1318
Promises和Observables有什么区别? 1291
你如何重命名Git标签? 1162
为什么使用'=='或'is'比较字符串有时会产生不同的结果? 1076
返回IEnumerable <T>与IQueryable <T> 1051