FILTER_SANITIZE_STRING在变量(由人工输入填充)上使用时我遇到了一个奇怪的问题。它似乎剥离了<字符和之后的任何文本。>角色保持不变。
我认为它认为这<是一个需要剥离的 HTML 标签,但是它后面没有结束标签,所以我不知道它为什么会这样。有没有办法让它离开<原位,并且仍然按照应有的方式进行消毒?
问问题
10536 次
1 回答
6
根本问题是,当您使用FILTER_SANITIZE_STRING剥离 HTML 标记时,您将输入作为 HTML 处理。根据您的描述,您的输入是纯文本。因此,过滤器只能破坏输入数据,正如用户已经报告的那样。
虽然这似乎是一种非常流行的技术,但我从来没有理解将纯文本上的 HTML 标签条带化作为清理方法的概念。如果它不是 HTML,则不需要关心 HTML 标记,原因与您不需要关心 SQL 关键字或命令行命令相同。只是数据而已。
但是,当然,当您之后将字符串注入 HTML 时,您需要对其进行转义以确保:
- 您的数据按原样显示
- 结果仍然是有效的 HTML
这就是htmlspecialchars()存在的原因。同样,当您动态生成任何其他类型的代码时,您需要使用相应的转义机制:SQL、JavaScript、JSON...
于 2013-04-13T15:19:09.843 回答