我有以下功能可以清除用户或url的输入:

   function SanitizeString($var)
   {
       $var=stripslashes($var);
       $var=htmlentities($var, ENT_QUOTES, 'UTF-8');
       $var=strip_tags($var);
       return $var;
   }


我不知道是否要使用除此php函数之外的那个函数:

mysql_real_escape_string()..

我也不知道我是否采取了所有预防措施来清理输入内容

我也有剥离标签的问题。因为我使用的是tiny_MCE,所以不剥离标签很重要。

在将html字符输入数据库之前,如何将html字符的状态返回为html字符?

最佳答案

如果您要谈论的是在将HTML放到屏幕上之前对其进行清理(您实际上并没有在问题中提及,而是在评论中提到),那么它要比您想象的要复杂得多。

看一眼:
http://iamcal.com/publish/articles/php/processing_html/

http://www.iamcal.com/publish/articles/php/processing_html_part_2/

10-07 19:49
查看更多