我正在寻找一种方法或功能,可以让我显示我的 mySQL 数据库中的数据。允许用户发布文章,mysql_real_escape_string在将他们的帖子插入数据库之前,我使用这些文章来避免 SQL 注入。
为了我的测试目的,我在一个文本区域写了我的帖子,带有<b> <a> <i> <li>. 稍后我将在 Stackoverflow 上使用像这样的编辑器来帮助用户发布他们的帖子。
但是,我知道 XSS 并且直接从数据库回显可能会导致 XSS 攻击。因此,我为我的测试选择了使用htmlentitiesor输出内容htmlspecialchars。他们都不会用 html 正确地向我显示帖子。
因此,我使用了条形标签,但据我所知和阅读,并不安全。
您也可以使用什么功能,可以让我正确输出数据,就像 防止 XSS一样? this