使用textarea,您没有这些选项.但是,您可以使用JavaScript来监听关键事件并忽略某些按键操作.见http://jsfiddle.net/tg300eef/.

var ta = document.getElementById("ta");
ta.addEventListener(
    'keypress',function (e) {
        // Test for the key codes you want to filter out.
        if (e.keyCode == 60) {
            alert('No "<"!');
            // Prevent the default event action (adding the
            // character to the textarea).
            e.preventDefault();
        }
    }
);

但是,这并不能保护您免受错误或恶意输入的侵害.也就是说,即使你使用JavaScript来过滤textarea中的字符,用户仍然可以绕过这个限制(例如,关闭JavaScript).

处理必须在其他命令中使用的用户输入的正确方法(例如SQL查询或HTTP请求等)是使用适当的转义例程.对于MySQL查询,这可能是MysqLi_real_escape_string,用于在HTML中嵌入用户输入的htmlspecialchars,用于HTTP请求的urlencode,等等.这必须由服务器完成,因为您无法信任客户端(换句话说,用户)为您执行此操作.

有时您会看到删除特殊字符或术语的剥离例程.这些可能更难以正确,特别是当你试图允许一些特殊条款而不是其他条款时.这种情况通常发生在您要删除像< script>这样的内容的地方.和< iframe>但请留下诸如< strong>之类的内容和< h1>.另一个示例是允许用户使用sql的子集来过滤搜索结果.

剥离的问题在于,解释器(任何语言 – 您未编写的)都可能识别您没有预料到的命令或语法,并且通过那些您有安全漏洞的语言.这是使用Markdown等限制语言有意义的一个原因,即使HTML可以做同样的事情.

剥离的另一个问题是用户可能想要将特殊字符或短语用于其他目的,而不是作为指令.例如,我可能想写0< x> 10但是HTML剥离器可能会将此减少到0 10不公平.