0

$words = htmlspecialchars($_POST['name']); だから私はあなたが特殊文字をエスケープしていくつかのhtmlインジェクションを防ぐためにphpでできることを知っています。

しかし、実際にPHPコードに実装するのに問題があります。サイトの閲覧者に表示しているものを表示する前に使用する必要があると読んでいましたが、その方法がわかりません。私はPHPの初心者です。

だから私はSQLインジェクションの部分を行うことができましたが、これが私が上で説明したように私が立ち往生しているコードの部分です。

タイトルブログとタグのHTMLインジェクションを防止しようとしています

$result= mysql_query("SELECT * FROM Bpost");

echo '<div class = "blog" align = "center">';
    while($row = mysql_fetch_array($result))
        {

        echo "<div class = 'tname'>";
        echo $row['title']; 
        echo '</div>';

        echo '<div class = "bpost">';
        echo $row['blog'];
        echo '</div>';

        echo '<div class = "tag">';
        echo $row['tags'];
        echo '</div>';
        echo '</br>';

        }
echo '</div>';

私の他のものからのサンプルコードが必要な場合は私に知らせてください。私にはこれで十分だったようです。

4

1 に答える 1

2

に変更echo $row['title'];するだけでecho htmlspecialchars($row['title']);(そして他のすべてのユーザー生成データに対して繰り返します)、設定が完了します。

于 2012-12-12T22:14:55.033 に答える