0

我正在寻找一个正则表达式来确保在我用 PHP 制作的留言簿中我不想要的东西中没有任何东西。例如,脚本、sqlinjections、html 等。但我仍然希望用户能够使用尽可能多的字符(例如 :)(/?!.,"&-_) 而不会降低网站的安全性。

关于该正则表达式的想法?

4

2 回答 2

3 
htmlspecialchars($output)

请注意,这htmlspecialchars有助于防止 XSS,而不是 SQL 注入。要防止 SQL 注入,请使用准备好的语句。为了防止 CRSF,你可以做一些研究。

于 2012-11-13T17:49:55.223 回答
1

将 PDO 或 MySQLI 与准备好的和绑定的语句一起使用。如果你做对了,你就不需要担心 Regex - 除非你真的想过度杀戮安全;)

于 2012-11-13T23:57:53.140 回答