0

当我将用户输入数据插入我使用的 mysql 数据库时,mysql_real_escape_string. 输入数据包含 bbcode 例如[img][/img]

下面是输出 html 时的一行。

    $information = $this->bbcode(stripslashes($this->swearfilter($row['information'])),1);
   echo $information;

关于这个例子,这是防止 XSS 攻击的正确方法还是我使用htmlspecialchars($var,ENT_QUOTES)or htmlentities

4

2 回答 2

2

用于htmlspecialchars()防止 XSS 攻击

于 2012-06-29T09:02:13.457 回答
0
$message = preg_replace('#\[img\](.*?)\[/img\]#', '<img src="$1" />', $message);  

防止 XSS 攻击

于 2012-06-29T09:05:13.370 回答