调试易

网站在哪呢？我也去玩一下...这种东西网上有很多的，可以充分的搜索。给你复制一段用户输入的东西是不可信认的，例如，用户注册，用户评论等，这样的数据，你不光要做好防sql的注入，还要防止JS的注入,html的注入。一，javascript注入的危害举个简单的例子，我在一个网站留言了，并且这个网站没有对JS进行过滤,我在留言中加入以下内容<script language=javascript>
 for(i=0;i>=0;i++){
 alert('我弹');
 }
 </script>上面的代码虽然简单，可是可以无限循环，并且会一直弹东西出来，让人感觉很不爽，直到浏览器没有响应为止。浏览您网站的人，第一反应肯定是这个网站有病毒。解决办法$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment);把里面的javascript标签去掉就行了。二，html注入的危害1，容易引起页面错乱，对用户输入html标签不做处理的话，在读取的时候，很有可能就会破坏页面的布局。2，影响seo，做seo的人都知道，pr高的网址，如果有链接，链到你的网站的话，可以加大自己网站的权重，这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话，我输入以下内容<a href="http://XXX.com" style="display:none;">XXX.COM</a>XXX.COM是个不河蟹网站,政府肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.危害肯定不止这二个,因此要对这些html标签进行处理$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);过滤的方法有好多，也可以直接把<>这样的符号转义掉，或者直接删除掉都是可以的。

把 内容中的  < >替换掉..js端:memo=留言内容;
memo=memo.replace('<','&lt;');
memo=memo.replace('>','&gt;');服务端:
$memo=$_POST['memo'];
$memo=preg_replace('<','&lt;',$memo);
$memo=preg_replace('>','&gt;',$memo);