如何阻止文本输入中的所有 html 和 javascript 标签?
我的代码是:
$pav = stripslashes($_POST['pavadinimas']);
$pav2 = mysql_escape_string($pav);
但它不会阻止 html 和 javascript 标签
删除这两个调用:stripslashes()
在这里没有什么好处,mysql_real_escape_string()
只能在将数据插入到 mySQL 查询之前使用。
执行任htmlspecialchars()
一操作(如果您想保留 HTML 源代码,但使标签可见)或strip_tags()
(仅消除 HTML)。
您必须使用 htmlspecialchars() 或 strip_tags()(用于删除而不是转换)
$html = "<b>Test</b> <strong>Lol</strong>";
echo htmlspecialchars($html);