Intereting Posts
Следующий рабочий день данной даты в PHP При попытке отправить форму в текстовое поле введите прессу с jquery ajax не работает Являются ли htmlentities () и mysql_real_escape_string () достаточно для очистки ввода пользователя в PHP? Строковое сходство в PHP: функция типа levenshtein для длинных строк CakePHP – соглашение об именах таблиц Включает ли чтение файлы, замедляющие загрузку скрипта php? Regex – Greedyness – соответствие HTML-тегов, содержимого и атрибутов MySQL: как получить разницу между двумя метками времени в секундах Распознавание / обнаружение лица PHP или программное обеспечение для фото и видео галерей mcrypt blowfish php немного отличается по сравнению с java и .net Лучшая практика, позволяющая получать доступ только к владельцам и администраторам? Установка значения текстовой области HTML-формы? Regex для получения содержимого между одиночными и двойными кавычками php Можно ли отправить форму флага без кнопки отправки в php? Передача параметров для zend paginationControl partial

Предотвращать отправку HTML-данных в текстовые поля формы

Я делаю веб-приложение с использованием PHP, где у меня есть форма, которая вносит записи в базу данных MySQL, а затем отображает ее на другой веб-странице. Но проблема в том, что текстовые поля в форме имеют тенденцию принимать HTML-контент, что делает приложение уязвимым для хакеров XSS. Как преобразовать HTML в обычный текст, прежде чем я покажу его на веб-странице.

Пожалуйста, не стесняйтесь задавать вопросы, если мне не хватает информации.
—————————————(ОБНОВИТЬ)——– ——————————–
Многие из вас, товарищи по команде, предложили использовать htmlspecialchars но в этом случае, если бы я разрешил пользователю ссылаться на другие страницы, используя гиперссылки, как мне это сделать?

htmlspecialchars – один, чтобы предотвратить xss

strip_tags также удаляет теги PHP

также обязательно используйте mysqli_real_escape_string или тому подобное, чтобы предотвратить инъекцию SQL

UPDATE в ответ на ваше обновление, самый простой способ сделать это – использовать один из многих синтаксисов разметки ala Daring Fireball . Поскольку синтаксис уценки не является тегами HTML / PHP, он должен проходить через функции PHP без проблем, но я никогда не реализовал это сам, поэтому YMMV.

htmlspecialchars является для вас одним из ваших друзей, вы также можете захотеть заменить utf8, hexencoded или enitified версию <, чтобы избежать обфускации сценария, чтобы пройти.

там вы идете