有三种基本解决方案:
原文链接:https://www.f2er.com/php/135645.html>从帖子中删除所有HTML标记.在PHP中,您可以使用strip_tags()
函数执行此操作.
>对所有字符进行编码,以便用户输入< b> hello< / b>它显示为< b> hello< / b>.在PHP中,这是htmlspecialchars()
功能. (注意:在这种情况下,您通常会将内容按原样存储在数据库中,并在输出内容的任何位置使用htmlspecialchars.)
>使用HTML清理程序,例如HTML Purifier.这允许用户使用某些HTML格式,例如粗体/斜体,但阻止恶意Javascript和您希望的任何其他标记(例如< object>在您的情况下).