不经历风雨怎么见彩虹 冰貂主人
php htmlspecialchars 过滤
发布时间:2019-04-12作者:小灵龙点击:167
问题描述:
在从表单接收数据存入数据库的过程中,我们需要过滤一些提交的值,这是必须的。因此过滤中有htmlspecialchars,htmlentities等php函数。比如表单提交到php存入数据库的过程中不使用过滤,当我们在输入框中输入<script>alert('ddd');</script>,提交完成后,刷新列表页面,就会出现alert。
解决办法:
有一个疑问,htmlspecialchars是接收表单数据的时候用还是存入数据库前使用?在php中对提交的值过滤,数据库是这样的。
所以在接收表单值的时候,$a=htmlspecialchars($_POST['username'])。
htmlentities这个函数转换所有含有对应“html实体”的特殊字符,比如货币表示符号欧元英镑等、版权符号等,htmlspecialchars 只是把某些特殊的字符转义了, & " ' < >
在从表单接收数据存入数据库的过程中,我们需要过滤一些提交的值,这是必须的。因此过滤中有htmlspecialchars,htmlentities等php函数。比如表单提交到php存入数据库的过程中不使用过滤,当我们在输入框中输入<script>alert('ddd');</script>,提交完成后,刷新列表页面,就会出现alert。
解决办法:
有一个疑问,htmlspecialchars是接收表单数据的时候用还是存入数据库前使用?在php中对提交的值过滤,数据库是这样的。
所以在接收表单值的时候,$a=htmlspecialchars($_POST['username'])。
htmlentities这个函数转换所有含有对应“html实体”的特殊字符,比如货币表示符号欧元英镑等、版权符号等,htmlspecialchars 只是把某些特殊的字符转义了, & " ' < >
标签:php htmlspec
- 上一篇:dede去掉powerby
- 下一篇:dede网站地图sitemap.xml