0

输出用户输入时,我使用此功能:

function bbkoda($text) {
    $text = htmlspecialchars($text);
    $text = nl2br($text);

    $hitta = array(
        "'\[b](.*?)\[/b]'is",
        "'\[i](.*?)\[/i]'is"
    );

    $byt = array(
        "<b>\\1</b>",
        "<i>\\1</i>"
    );

    $text = preg_replace($hitta, $byt, $text);

    return $text;
}

这很安全吧?我用 清理我插入到 db 的所有mysql_real_escape_string内容并用htmlspecialchars. 我是一个非常怀疑的人:P

谢谢

4

1 回答 1

1

关于这个主题的stackoverflow已经有一个很好的解释。基本上你肯定需要处理你的输入和输出才能让它真正安全!

于 2009-06-25T04:50:40.413 回答