如何保證表格？

Question

我正在閱讀一篇關於表單安全性的文章，因為我有一個表單，用戶可以在其中添加消息。

我讀到最好使用strip_tags() ， htmlspecialchars()和nl2br() 。 據說其他地方使用html_entity_decode() 。

我在我的頁面中有這個代碼，它接受用戶輸入

<?php 
    $topicmessage = check_input($_POST['message']); //protect against SQLinjection
    $topicmessage = strip_tags($topicmessage, "<p><a><span>");
    $topicmessage = htmlspecialchars($topicmessage);
    $topicmessage = nl2br($topicmessage);
?>

但是當我回復消息時，它全部在一行上，看起來這些斷點已被strip_tags刪除而不是被nl2br()放回去。

對我而言，這是有道理的，為什么它會這樣做，因為如果中斷被刪除，它如何知道將它放回去（或者它）？

無論如何，我正在尋找一種方法，我可以保護我的形式，用於嘗試和黑客網站，如在表單中使用JavaScript。

Answer 1

你有2個選擇：

1. 絕對不允許HTML。 使用帶有NO允許標記的strip_tags()或htmlspecialchars()來轉義可能存在於其中的任何標記。

2. 允許HTML，但您需要清理HTML。 這不是你可以用strip_tags做的事情。 使用庫（如HTMLPurifier ）......

Answer 2

你只需要在打印表單內容之前需要htmlspecialchars，然后在發布到SQL之前使用mysql_real_escape（在打印之前不需要它），你應該很好。

采用自動標記方式非常危險，您需要使用有限屬性的允許標記的簡短列表 - 這不是您可以在一行中執行的操作。 您可能希望查看HTML規范化器，如Tidy。

Answer 3

• 使用HTML Purifier進行html輸入並刪除你不想要的一切 - 除了段落，所有錨點等。

不相關但重要：

• sprintf用於“僅來自該領域的數字”之類的東西。
• 一般來說 ，所有插入查詢都有mysql-real-escape-string.php 。