当前位置：文江博客话题详情

清理用户输入而不转换为 htmlentities

发布于 2024-10-10 04:09:51 字数 141 浏览 6 评论 0原文

如何清理用户输入的搜索查询并仍按原样保留数据，例如，如果用户输入 & ，它不会转换为 & 并且如果用户输入&不会被转换为&？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

说不完的你爱 2024-10-17 04:09:51

* use `mysql_real_escape_string()`
* Use `strip_tags()` to filter out unwanted HTML
* Escape all other output with `htmlspecialchars()`

* use `mysql_real_escape_string()`
* Use `strip_tags()` to filter out unwanted HTML
* Escape all other output with `htmlspecialchars()`

回复收藏 0 原文

蒲公英的约定 2024-10-17 04:09:51

如果您正在查询 MySQL 数据库，我建议使用 mysql_real_escape_string()功能。我认为你不应该有太大的问题。您始终可以将字符转换回来，但您希望确保在查询数据库时对数据库进行清理。

回复收藏 0 原文

脱离于你 2024-10-17 04:09:51

<?php

$user = $_POST['username'];
$pwd = $_POST['password'];

// escape username and password for use in SQL
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"

// more code

mysql_close($con);
?>

<?php

$user = $_POST['username'];
$pwd = $_POST['password'];

// escape username and password for use in SQL
$user = mysql_real_escape_string($user);
$pwd = mysql_real_escape_string($pwd);

$sql = "SELECT * FROM users WHERE
user='" . $user . "' AND password='" . $pwd . "'"

// more code

mysql_close($con);
?>

回复收藏 0 原文

~没有更多了~