用户输入的数据应该怎么过滤其中的HTML?

<变成&gl;
>变成&gt;

解决方案 »

  1.   

    php有专门的函数能够过滤html标记strip_tags去掉 HTML 及 PHP 的标记。语法: string strip_tags(string str);返回值: 字符串函数种类: 资料处理内容说明本函数可去掉字符串中包含的任何 HTML 及 PHP 的标记字符串。若是字符串的 HTML 及 PHP 标签原来就有错,例如少了大于的符号,则也会返回错误。而本函数和 fgetss() 有着相同的功能。
      

  2.   

    htmlentities将所有的字符都转成 HTML 字符串。语法: string htmlentities(string string);返回值: 字符串函数种类: 资料处理内容说明本函数有点像 htmlspecialchars() 函数,但本函数会将所有 string 的字符都转成 HTML 的特殊字集字符串。不过在转换后阅读网页源代码的方面,会有很多困扰,尤其是网页源代码的中文字会变得不知所云,浏览器上看到的还是正常的。
      

  3.   

    18:数据放入数据库和取出来显示在页面需要注意什么入库时
    $str=addslashes($str);
    $sql="insert into `tab` (`content`) values('$str')";
    出库时
    $str=stripslashes($str);
    显示时
    $str=htmlspecialchars(nl2br($str)) ;