Я делаю веб-приложение с использованием PHP, где у меня есть форма, которая вносит записи в базу данных MySQL, а затем отображает ее на другой веб-странице. Но проблема в том, что текстовые поля в форме имеют тенденцию принимать HTML-контент, что делает приложение уязвимым для хакеров XSS. Как преобразовать HTML в обычный текст, прежде чем я покажу его на веб-странице.
Пожалуйста, не стесняйтесь задавать вопросы, если мне не хватает информации.
—————————————(ОБНОВИТЬ)——– ——————————–
Многие из вас, товарищи по команде, предложили использовать htmlspecialchars но в этом случае, если бы я разрешил пользователю ссылаться на другие страницы, используя гиперссылки, как мне это сделать?
htmlspecialchars – один, чтобы предотвратить xss
strip_tags также удаляет теги PHP
также обязательно используйте mysqli_real_escape_string или тому подобное, чтобы предотвратить инъекцию SQL
UPDATE в ответ на ваше обновление, самый простой способ сделать это – использовать один из многих синтаксисов разметки ala Daring Fireball . Поскольку синтаксис уценки не является тегами HTML / PHP, он должен проходить через функции PHP без проблем, но я никогда не реализовал это сам, поэтому YMMV.
htmlspecialchars является для вас одним из ваших друзей, вы также можете захотеть заменить utf8, hexencoded или enitified версию <, чтобы избежать обфускации сценария, чтобы пройти.
там вы идете