当我将用户输入数据插入我使用的 mysql 数据库时,mysql_real_escape_string
. 输入数据包含 bbcode 例如[img][/img]
。
下面是输出 html 时的一行。
$information = $this->bbcode(stripslashes($this->swearfilter($row['information'])),1);
echo $information;
关于这个例子,这是防止 XSS 攻击的正确方法还是我使用htmlspecialchars($var,ENT_QUOTES)
or htmlentities
?