gpt4 book ai didi

php - 阻止 HTML 和 Javascript 在我的网站上显示

转载 作者:行者123 更新时间:2023-11-28 05:02:00 24 4
gpt4 key购买 nike

我正在开发这个新的社交网站。它的各种功能之一是发布。您可以发布到 Facebook 和我的网站,或 Twitter 和我的网站。话虽如此,我在测试 sql 注入(inject)时忍不住尝试发布 HTML。当我这样做时,我注意到有一些方法可以操纵网站,例如,使用元素完全搞砸 CSS 设计,或使用 javascript 将用户重定向到另一个网站。话虽这么说,我想让我的网站成为我的用户的一个安全环境……而不是一个用于传播计算机病毒、色情内容和其他可能使人们倾向于远离我的网站的东西的网站。当我搜索这个主题时,我找到了在将它提交到数据库之前从 $post 变量中“剥离”HTML 的方法。但是,我只是想这样做,这样您就可以发布任何文本,包括 HTML 和 Javascript,而浏览器不会将其解释为“运行此...”代码:我想将其显示为平面文本。我在 Facebook 上看到过它,当我查看帖子的源代码时,它显示 <、/和 > 作为常规文本。我尝试“剖析”Facebook 的源代码,但一无所获。我试过使用诸如 <pre> 之类的标签和 <code> ,但由于缺乏样式和控制它们的能力,我放弃了,回到只允许 HTML。请知道如何执行此操作的任何人帮助我。

提前致谢

致谢

最佳答案

有一个功能可以“转义”html special characters .这会改变

<p>Some dangerous html</p>
<script>window.location.replace('http://pornography.com');</script>

进入:

&lt;p&gt;Some dangerous html&lt;/p&gt;
&lt;script&gt;window.location.replace('http://pornography.com');&lt;/script&gt;

浏览器将显示为纯文本(即 <p>Some ... )。

顺便说一句,这将发生在这篇文章中的文本中。这可能是最好的。

关于php - 阻止 HTML 和 Javascript 在我的网站上显示,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13658584/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com