我有一个博客系统,用户必须将内容输入到html文本区,包括<p>等html标签。这被存储在数据库中。如果此输入随后使用php回显到网页,我如何才能转义输出以防止XSS,同时保留html标记的含义,以便正确格式化博客帖子?如果我使用htmlentities($blog_content),它会直接把html标签打印到页面上,所以你会看到<p>hello this is a blog</p>。
这个是可能的吗?
我试图保护用户通过我网站上的表单提交的数据,这样他们就不能以HTML格式提交数据。我正在尝试以下方法,但当我测试它时,我仍然能够提交HTML数据,并且它会像我输入的那样写入数据库,并在我从数据库读取时显示HTML。 $errors .= "<div>You topic title must be 10 characters or longer!</div>