0

清理一些用户输入;

function html_mysql_sanitise($data) {
  if(get_magic_quotes_gpc()) {
    $data = stripslashes($data);
  }
  $data = htmlentities($data, ENT_QUOTES);
  $data = htmlspecialchars($data, ENT_QUOTES);
  return mysql_real_escape_string($data);
}

$_POST['data'] = html_mysql_sanitise($_POST['data']);

echo $_POST['data'];
echo html_entity_decode(htmlspecialchars_decode($_POST['data']));
echo html_entity_decode($_POST['data'], ENT_NOQUOTES);
echo htmlspecialchars_decode($_POST['data'], ENT_NOQUOTES);

$_POST['data'] 设置为;

test<d#'!;ta>

这个的输出是;

test&lt;d#&#039;!;ta&gt;
test
test<d#'!;ta>
test<d#'!;ta>

为什么最后两个产生相同的结果,而第二个是发布数据的一部分?由于最后两个似乎产生了预期的结果,我应该使用哪个?

谢谢你。

4

1 回答 1

1

为什么要重新发明轮子......使用这个:

http://htmlpurifier.org/docs

或这个:

http://www.bioinformatics.org/phplabware/internal_utilities/htmLawed/index.php

两者都擅长你想做的事情。

于 2012-10-15T15:43:01.270 回答