$example = $_POST['example'];
<textarea name="example"></textarea>
HTMLPurifier。
引入它:
include 'path/to/HTMLPurifier.auto.php';
使用它:
$config = HTMLPurifier_Config::createDefault();
$config->set('Core', 'Encoding', 'UTF-8');
$config->set('XHTML', 'Doctype', 'XHTML 1.0 Strict');
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify( $dirty_html );
放心睡觉,因为像这样清理HTML后没有XSS攻击。
建议使用mysql_real_escape_string()的人可能没有理解你的问题(或者我没有),你是在问如何过滤WYSIWYG编辑器中的HTML标记,以便可以安全地存储在数据库中。
mysql_real_escape_string()作为防止SQL注入的保护是相关的,但准备好的语句(搜索“PDO”)更好。
如果我理解正确,您想将HTML保存到数据库中,并需要一些编码方式?
在保存到数据库之前,您可以执行以下操作:
urlencode($_POST['example']);
当你检索时,可以使用urldecode($data)进行解码。
$example的内容放在哪里?您想禁止什么? - Artefacto