如果您的目的是在屏幕上显示代码,则在将其存储到数据库中之前,您无需转义或替换任何内容(如果您打算存储它).当然,这不适用于通过mysql_real_escape_string()诸如(或您的RDBMS等效的清理例程)之类的东西来逃避数据库插入.这一步仍然是绝对必要的.
显示代码时,请确保:
您不要通过eval()系统调用或系统调用来评估任何提交的代码.
将代码显示回浏览器时,请将其转义htmlspecialchars().永远不要显示未转义,否则您将引入跨站点脚本漏洞.
| 归档时间: |
|
| 查看次数: |
56 次 |
| 最近记录: |