我在网站中有一些用户输入，我不想在稍后使用PHP输出该输入时允许HTML。我认为唯一危险的字符是,>,/(斜线)和\(反斜杠)。我说得对吗？因此，例如，如果我替换与<是否足以阻止输出HTML？ 最佳答案 只需使用内置函数htmlspecialchars()你会好起来的。请注意，您还应该始终添加编码参数。例子是:echohtmlspecialchars($unsafeString,ENT_QUOTES,'UTF-8'); 关于php-应该替换哪些字符以避免输出HTML？，我们在St

当我将数据加载到输入框中时:name);?>'class="form-control">如果数据中包含单引号，由于符号冲突，会去掉字符串后面的部分所以我用修复它name);?>'class="form-control">它有效。问题是，将它应用于所有输入框很乏味，对于codeigniter，是否有任何适用于全局的解决方法？谢谢 最佳答案 您可以使用两种类型的报价。没有理由使用单引号/双引号。name);?>'class='form-control'>name);?>"class="form-control">

我正在为我的页面构建一个XMLRSS。并遇到此错误:erroronline39atcolumn46:xmlParseEntityRef:noname显然这是因为我不能在XML中使用&...我在最后一个字段行中这样做...在PHP中清理我所有的$row['field']以便&变成&的最佳方法是什么 最佳答案 使用htmlspecialchars只编码HTML特殊字符&,,>,"和可选的'(参见第二个参数$quote_style)。 关于php-在PHP中将&转换为&forXML，我们在St

我在字符串中使用了htmlspecialchars函数。但是，我不想清理它们；,,,blabla...示例:Mystring=".....testaaaa";我想；=..... 最佳答案 看看HTMLPurifier，尤其是whitelist功能。如果您允许使用HTML标记，这可能是最安全的方法。可以查看对比here. 关于php-如何在PHP中删除Html标签？，我们在StackOverflow上找到一个类似的问题： https://stackoverflo

我一直在'洒水'htmlentities($user_input,ENT_QUOTES,'UTF-8')在我的整个View中，我到处回显用户有机会在我的应用中输入的数据。这非常乏味，我想知道在我的Controller中使用HTMLPurifier是否可以安全地替代使用htmlentities在每个echo在View上。例如，我注意到HTMLPurifier会单独尝试关闭一个打开的而不是删除它，所以如果一些聪明人把他的名字输入为Johnny和我echo在我看来，它破坏了我的整个布局。但如果我改用htmlentities我一个人得到Johnny并且我的布局被保留。所以我想知道这是否是HTM

我正在尝试为汽车列表制作一个AJAX过滤器，但我卡在了最后阶段。我有两个文件，index.php和filter.php。在index.php中，我有带有下拉列表和slider的表单。发送表单代码如下:$(document).ready(function(){$("#send").click(function(){varsalon=$("#salon-list").val();varmake=$("#make-list").val();varmodel=$("#model-list").val();varcenaLow=$("#cenaLow").val();varcenaHigh=$(

我对我网站上的og:title标签有点纠结。每当文章标题有撇号并在Facebook上分享时，'就会出现而不是撇号。我将我的元标记与成功显示他的撇号的friend的网站进行了比较，我能找到的唯一区别是:放置在我网站的og:title中的撇号代码:'放置在friend站点的og:title中的撇号代码:'我认为我的网站在转换撇号后正在转换和号，这使得它在Facebook上显示为'。我正在为Joomla!使用K2，并在他们的论坛上提出了这个问题，但我已经5天没有收到任何回复。这是我在com_k2>views>item>view.html.php文件中找到的代码:$document->setM

假设一些PHP代码回显通过首先将addslashes()然后htmlspecialchars()应用到HTML文档而净化的输入。我听说这是一种不安全的方法，但不知道为什么。对于可以将哪种格式应用于危险输入(例如脚本标记中的JavaScript)以绕过这两个函数强加的安全措施的任何建议，我们将不胜感激。 最佳答案 addslashes与XSS无关(并且在实际有用的地方几乎总是有更好的东西)。htmlspecialchars不是不安全的方法。它本身是不够的。htmlspecialchars如果您将内容作为“安全”元素的主体，将会保护您。

假设我的项目自始至终都是utf-8并且一直使用utf-8编码，如果我更改所有出现的htmlspecialchars($var)是否有任何可能破坏的合法内容>到htmlspecialchars($var,ENT_QUOTES,'utf-8')?我确实知道一件事:显然，ENT_QUOTES与ENT_COMPAT的不同之处在于它也转义了单引号。假设我知道仅此一项不会破坏任何东西，还有其他东西吗？不同的措辞:htmlspecialchars()在没有charset参数的情况下，给定的数据仅来自字符集，是否有可能的结果与htmlspecialchars()不同何时使用字符集参数？(在任何时候，h

我有这个:我想从用户输入中去除引号，这样如果有人输入如下内容:“这是我的标题”，它不会弄乱我的代码。我试过了，但没用:$inputData['title']=str_replace('"','',$_POST['title']); 最佳答案 如果我对问题的理解正确，你想从$inputData['title']中删除"，这样你的HTML代码就不会乱了吗？如果是这样，“正确”的解决方案不是删除双引号，而是在执行实际输出之前转义它们。考虑到您正在生成HTML，**您应该使用[`htmlspecialchars`][1]函数**；这样，双引