《在PHP中顯示格式化的用戶輸入》文章已經(jīng)歸檔，站長(zhǎng)之家不再展示相關(guān)內(nèi)容，下文是站長(zhǎng)之家的自動(dòng)化寫(xiě)作機(jī)器人，通過(guò)算法提取的文章重點(diǎn)內(nèi)容。這只AI還很年輕，歡迎聯(lián)系我們幫它成長(zhǎng)：

你可以在這個(gè)頁(yè)面下載這個(gè)文檔附帶的文件，也可以在文件下載中的字符處理中下載這個(gè)文檔描述如何安全顯示的有格式的用戶輸入。我們將討論沒(méi)有經(jīng)過(guò)過(guò)濾的輸出的危險(xiǎn)，給出一個(gè)安全的顯示格式化輸出的方法。 沒(méi)有過(guò)濾輸出的危險(xiǎn) 如果你僅僅獲得用戶的輸入然后顯示它，你可能會(huì)破壞你的輸出頁(yè)面，如一些人能惡意地在他們提交的輸入框中嵌入javascript腳本： This is my comment. ＜script language="javascript： alert('Do something bad here!')". 這樣，即使用戶不是惡意的，也會(huì)破壞你的一些HTML的語(yǔ)句，如一個(gè)表格突然中斷，或是頁(yè)面顯示不完整。 只顯示無(wú)格式的文本 這是一個(gè)最簡(jiǎn)單的解決方案，你只是將用戶提交的信息顯示為無(wú)格式的文本。使用htmlspecialchars()函數(shù)，將轉(zhuǎn)化全部的字符為HTML的編碼。 如＜b將轉(zhuǎn)變?yōu)?，這可以保證不會(huì)有意想不到的HTM...

......