我正在遵循各种步骤来防止对我的 Web 应用程序进行任何类型的注入或攻击。当我关注他们时,我的脑海中浮现出一个问题:防止网络应用程序遭受攻击的最基本操作之一是防止用户编写可能伤害其他用户的恶意脚本。在我读过的资料中,它说你应该使用strip_tags()or htmlentities(),但如果我应该在将用户数据插入数据库之前或在打印它之前或者两者都使用它还不够清楚。
所以基本上我的问题是我什么时候使用这些功能?另外,如果我想保留一些 html 标签怎么办?{如果我使用 html 文本编辑器},是否推荐这样做?