我在网站中有一些用户输入,以后用PHP输出这些输入时,我不想允许使用HTML。
我认为唯一危险的字符是<、>、/(斜杠)和(反斜杠)。
我说得对吗?
因此,例如,如果我用<替换<,是否足以阻止HTML输出?
只需使用内置函数htmlspecialchars(),您就可以了。只需注意,您还应该始终添加编码参数。
例如:
echo htmlspecialchars($unsafeString, ENT_QUOTES, 'UTF-8');