私のアプリケーションでは、ユーザーはステータスの更新を投稿できます。コード html/javascript またはその他のスクリプトを投稿する可能性があります。データベースに保存し、Web ページに表示します。このコードを表示したいページに影響を与えることなく、コードは通常のテキストとして表示され、サーバー側での処理中またはクライアント側での読み込み中に実行されるべきではありません...どうすればこれを達成できますか? mysql_real_escape_string()
また、フィルターなどの処理をせずに保存していstrip_tags()
ます...処理を行わなくてもいいですか?それに関連する脅威はありますか?それに対して何らかの操作を実行する必要がある場合、より安全な側で使用し、ユーザー入力を通常/プレーンテキストとして表示するという私の目的を達成するためにどの関数を使用する必要がありますか。
更新htmlspecialchars
:すべての回答を読んだ後、私は行って、についてもっと読むべきだと思いますhtmlentities