将文本区域接收的数据输出回文本区域时，如何正确清理从文本区域接收的数据？

Question

用户将在文本区域中输入文本。 然后将其直接插入到 mySQL 数据库中。 我在上面使用了trim、htmlentities、mysql_real_escape_string，并且启用了魔术引号。 将数据输出回文本区域时应该如何清理它？

感谢您的帮助。 我从来都不太确定这样做的正确方法......

Answer 1

保存时不应使用 htmlentities。 显示它时应该使用htmlentities。 经验法则是，除非需要，否则不要对数据进行编码/清理。 如果您在保存时对其执行 htmlentities 操作，那么当用户想要编辑输入时，您必须对文本执行 html_entity_decode 操作。 所以你只需要消毒你需要的东西，仅此而已。 保存它时，您需要清理 SQL 注入，因此您 mysql_real_escape_string 它。 显示时，您需要清理 XSS，因此您需要 htmlentities 它。

另外，我不确定您是否看到了 Darryl Hein 的评论，但您确实不希望启用 magic_quotes。 它们是一件很糟糕的事情，并且从 PHP 5.3 开始已被弃用，并将PHP 6 中完全消失了。

Answer 2

除了 Paolo 关于何时使用 htmlentities() 的回答之外，除非您使用旧版本的 PHP，否则清理插入 mysql DB 的正确方法是使用 准备好的语句是 mysqli 扩展。 这取代了使用 mysql_real_escape_string() 的任何需要。

除此之外，我认为你已经涵盖了一些事情。