我在网站中有一些用户输入,以后用PHP输出这些输入时,我不想允许使用HTML。
我认为唯一危险的字符是<
、>
、/
(斜杠)和(反斜杠)。
我说得对吗?
因此,例如,如果我用<
替换<
,是否足以阻止HTML输出?
只需使用内置函数htmlspecialchars()
,您就可以了。只需注意,您还应该始终添加编码参数。
例如:
echo htmlspecialchars($unsafeString, ENT_QUOTES, 'UTF-8');