Aşağıdaki açacak:

<script>alert("Muhahaha");</script>

içine

<script>alert("Muhahaha");</script>

So if you're printing out this data içine HTML later, you would be protected. It wouldn't protect you from:

"; alert("Muhahaha");

just in case you were echoing içine a script like so:

var t = "Hello there <?php echo $str;?>";

Bu amaçla, addslashes() and a database string escaping method like mysql_real_escape_string() kullanmalısınız.

evet, sterilize etmek için tek yoldur. bu her zaman XSS saldırıları korkmadan veritabanı içeriğini görüntüleyebilir yararı vardır. böylece metni göstermek istediğiniz her zaman, htmlentitiesi () bunu kullanmak - ancak, bir 'saf' yaklaşımı veritabanında ham veri depolamak ve görünümde dezenfekte etmektir.

Ancak, sizin yaklaşım hesap SQL enjeksiyon saldırıları içine almaz. Bunu karşı korumak için http://php.net/manual/en/function.mysql-real-escape-string.php bakmak isteyebilirsiniz.

Evet, bir web sayfasına veri görüntülemek istediğinizde bunu, ama ben kodlanmış olarak veritabanında HTML saklamayın öneririz, bu büyük metin alanları için ince görünebilir, ama kısa başlıklar var, bir 32 karakteri söylüyor Bir & içeren normal bir 30 karakter dizesi olmak ve olacaktır ve bu bir SQL hatası veya veri kesilecek neden olur ya.

Yani başparmak kuralı, mağaza her satır (Açıkçası SQL enjeksiyonu önlemek) ve kusurlu gibi, o geliyor olursa olsun her şeyi tedavi: veritabanı, kullanıcı formları, rss, düz dosyaları, XML, vb Bu nasıl inşa olduğunu iyi veri taşan endişesi olmadan güvenlik veya gerçeği oneday HTML kodlaması bir sorun olmayan bir web kullanıcı için veri ayıklamak gerekebilir.