如何避免用户在我的表单中输入 php 代码

Question

如何阻止用户在我的表单中输入 。

我正在使用 urlencode()，然后在将数据回显到我的页面时使用 urldecode()，最好的做法是什么？

更新：

写入数据库

htmlentities (urlencode($_POST['postmessage']));

我正在使用文本 urlencoded: I am using:

<?php echo htmlentities (urldecode($row['content'])) ?>

以回显保存的数据。这样就够了吗？？

Answer 1

我建议您使用 HTML Purifier ：

HTML Purifier 是一个符合标准的
用 PHP 编写的 HTML 过滤器库。
HTML Purifier 不仅会删除所有
恶意代码（更广为人知的名称是
XSS）经过彻底审核，
安全但宽容的白名单，它
还将确保您的文件
符合标准，仅此而已
可以通过全面的
了解 W3C 规范。

Answer 2

好吧，你可以去掉所有不属于 URL 的字符

$var = filter_var($url, FILTER_SANITIZE_URL);

然后你可以检查它是否是一个有效的 URL

$var = filter_var($url, FILTER_VALIDATE_URL);
if($var == false)
    die("Bad URL");

Answer 3

你用代码做什么？执行它？
当您回显 php 代码时，无需担心服务器端...您宁愿执行 html_entity_encode 来防止您的网站被用户帖子搞乱或被 iframes/javascripts 注入