php-删除插入到mysql中的post html,js,css
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了php-删除插入到mysql中的post html,js,css,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含945字,纯文字阅读大概需要2分钟。
内容图文
当我在文本输入中发布html,js,css标签,规则,语法时.它显示在页面结果上!
我使用$conn-> real_escape_string和mysqli准备的语句,但对我来说仍然不安全.
我的代码是:
<?php
require 'config/config.php';
mysqli_set_charset($conn,"utf8");
$qmsg = $_POST["qsmsg"];
$qmsgs = mysqli_real_escape_string($conn, $qmsg);
$ansr = "Answer";
$userName = "John";
$userId="4";
$userType="user";
$imgsp="images/avatar.jpg";
$stmt = $conn->prepare("INSERT INTO qa (qus, ansrq, uname, uid, utype, uimage) VALUES (?, ?, ?, ?, ?, ?)");
$stmt->bind_param("sssiss", $qmsgs, $ansr, $userName, $userId, $userType, $imgsp);
...
$stmt->close();
$conn->close();
?>
我页面上的结果:
解决方法:
这是一个XSS问题,而不是数据库或CSS问题.
快速的答案是,您必须在HTML上下文中显示的任何用户数据上调用htmlspecialchars.这将消除用户故意或无意引入的任何HTML.
长答案是人们希望能够采用某种格式,因此考虑使用Markdown之类的东西,这样您就可以键入* bold *和_italic_之类的东西,而不必编写实际的HTML.有很多这样的PHP实现.
内容总结
以上是互联网集市为您收集整理的php-删除插入到mysql中的post html,js,css全部内容,希望文章能够帮你解决php-删除插入到mysql中的post html,js,css所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。