php-如何接受用于显示目的的编程代码输入?
作者:互联网
在PHP中接受用户输入的编程代码,将其存储在数据库中并用HTML pre标签显示回来的最安全方法是什么?
我目前将输入转换为HTML实体,但以某种方式我认为这并不那么容易…
有什么建议么?
解决方法:
编程代码只是文本;如果不执行,不会造成任何伤害.
这意味着您需要关注:
>保护数据库免受SQL注入.这可以通过转义输入字符串(mysql_real_escape_string())或使用准备好的语句来完成.
>保护您的用户免受XSS的侵害.这可以通过将您的代码转换为html实体(即:使用htmlspecialchars()
)来完成,因此潜在的恶意标签(即:< script>)将转换为文本(例如:& lt; script& gt;).
标签:html-entities,sql-injection,xss,html,php 来源: https://codeday.me/bug/20191023/1915791.html