检查消息是否包含错误字符?
检查消息是否包含错误字符?
提问于 2013-06-18 22:49:42
我有一个不允许的字符数组:
$array = ('<php', '<?', '?>', '<h', '<b>');我有一个字符串消息。我该如何检查,这个字符串在数组中不包含任何这些单词?
基本上,我有一个ajax聊天,当我输入<b>hello</b>,它使文本加粗,我不想在那里允许超文本标记语言,我不知道怎么做?
回答 4
Stack Overflow用户
发布于 2013-06-18 22:52:27
您可以使用strip_tags剥离所有html标记,但是当您输出到html时,您应该始终使用htmlspecialchars(),以便对任何特殊字符(如>、<等)进行编码,以便它们不会对生成的html产生任何影响。
顺便说一下,黑名单方法可能会失败,如果人们开始添加<script>标签等怎么办?尽管当您为输出到的媒体(html、db等)正确编码时,在这里似乎没有必要这样做,但通常您最好使用白名单方法。
Stack Overflow用户
发布于 2013-06-18 22:53:02
对网页上显示的任何内容进行xml编码...
Stack Overflow用户
发布于 2013-06-18 22:53:48
你真的不需要把这些去掉。如果您使用htmlspecialchars,那么您可以将<编码为<,将>编码为>,因此html将直接传递,但不会由浏览器呈现。
作为补充:如果您使用jQuery,请记住.text(...)将为您避开这些事情。.html(...)不会。在安全地将html输出到浏览器时,请使用.text(...)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/17172013
复制相关文章
相似问题
腾讯云开发者
