输出用户输入时,我使用此功能:
function bbkoda($text) {
$text = htmlspecialchars($text);
$text = nl2br($text);
$hitta = array(
"'\[b](.*?)\[/b]'is",
"'\[i](.*?)\[/i]'is"
);
$byt = array(
"<b>\\1</b>",
"<i>\\1</i>"
);
$text = preg_replace($hitta, $byt, $text);
return $text;
}
这很安全吧?我用 清理我插入到 db 的所有mysql_real_escape_string
内容并用htmlspecialchars
. 我是一个非常怀疑的人:P
谢谢