Mysql 更改了我的 html 标签，使它们变得毫无用处

Question

我正在将数据导入数据库到文本字段。但是，当我尝试输入时，

<strong> Hi There </strong>

我在表中找到它（使用 php myadmin），因为

"<strong> Hi There </strong>" 

它在我的前端网页上显示为

<strong> Hi There </strong>

显然不是所需的结果。

这里有什么想法吗？我使用的是常规文本形式。

Answer 1

当您输入数据时，它可能会被擦除 - 可能使用 htmlspecialchars() 或 htmlentities()

要解码标签，请使用 html_entity_decode()

http://php.net/manual/en/function.html-entity-decode.php

Answer 2

是的。这里发生的是简单的编码，因此存储的形式是安全的。在将其显示在网页上之前，请通过 PHP 内置的 html_entity_decode() 传递它。

请注意，如果没有发生这种情况，某人很容易将自己的 HTML 输入到不应包含 HTML 的字段（例如用户名），然后他们可以修改您的网站。

Answer 3

当处理数据库中保存的或内容中显示的不同用户输入时，您应该始终注意 xss 攻击。最好安全一点，然后抱歉...

用户名：
检查最低限度和最大长度，不超出 ASCII 范围 &严格禁止使用 html 或特殊字符，如 <>;'"% 并修剪开头和结尾的空格。如果输出到表单，请始终使用 htmlspecialchars()。

密码：
检查最低限度和最大长度，至少拥有 1 个国会大厦和 1 个 alpha 字符以确保安全。保存到数据库时始终加密不要使用 md5。如果输出到表单，如果不使用 type="password" 属性，则始终使用 htmlspecialchars() 。

电子邮件：
检查它是否是有效的电子邮件地址。

主要评论、帖子提交区域：
剥离所有 javascript、html 和/或允许用户在图像、链接、格式需要时插入 BBcode，然后在显示时将 BBcode 转换为有效的 html。