如何阻止文本输入中的所有 html 和 javascript 标签?
我的代码是:
$pav = stripslashes($_POST['pavadinimas']);
$pav2 = mysql_escape_string($pav);
但它不会阻止 html 和 javascript 标签
问问题
134 次
2 回答
2
删除这两个调用:stripslashes()在这里没有什么好处,mysql_real_escape_string()只能在将数据插入到 mySQL 查询之前使用。
执行任htmlspecialchars()一操作(如果您想保留 HTML 源代码,但使标签可见)或strip_tags()(仅消除 HTML)。
于 2013-03-09T21:00:42.843 回答
0
您必须使用 htmlspecialchars() 或 strip_tags()(用于删除而不是转换)
$html = "<b>Test</b> <strong>Lol</strong>";
echo htmlspecialchars($html);
于 2013-03-09T21:00:59.390 回答