我正在处理几个页面来管理来自文本区域的数据,用户可以使用这些数据通过基本编辑器所见即所得来编写一些内容。在这个 textarea 中,我有几个标签。我想知道以下过程是否足以保护自己免受垃圾邮件和其他与 sql 查询注入等相关的隐患。
我的脚步
function string_db ($value)
{
$value = (get_magic_quotes_gpc()) ? stripslashes($value) : $value;
return mysql_real_escape_string($value);
}
$content = string_db(trim($_POST['conten']));
$content = strip_tags($content, '<p><a><b><u><i>'); // The 5 tags allowed
$content = str_replace("<", "", $content);
$content = str_replace(">", "", $content); //In case someone try to type html entities instead of html code
//INSERT DATA IN DB
在我显示以前保存在我使用的数据库中的数据的页面上:
echo html_entity_decode($contentFromDb);
这够了吗?为了证明有效性,是否有一系列测试要做?
非常感谢