我知道这个话题已经被广泛讨论,因为我已经阅读并阅读了超过 15 篇关于该主题的帖子,但仍然找不到我的问题的答案。
我正在寻找一种功能来清理表单中的数据。由于绝对没有 HTML 是可以接受的,我该如何转义所有 html 实体,以便用户绝对不能注入任何东西?我不需要白名单,因为不允许输入 HTML。
此外,不需要运行 mysql_real_escape_string,因为我不使用 MySQL 数据库。我使用 MongoDB。我只是存储名字,姓氏,电话号码,基本的东西。没有 HTML。但是我仍然不希望用户能够输入<script>whatever</script>
他们的名字,当它显示给他们时,它会解析它。
我想到了HTML Purifier和htmLAWED,但它们似乎对我想做的事情来说太多了。我只是构建一个花哨的 preg_replace 函数吗?