输出用户输入时我使用此功能:
function bbkoda($text) {
$text = htmlspecialchars($text);
$text = nl2br($text);
$hitta = array(
"'\[b](.*?)\[/b]'is",
"'\[i](.*?)\[/i]'is"
);
$byt = array(
"<b>\\1</b>",
"<i>\\1</i>"
);
$text = preg_replace($hitta, $byt, $text);
return $text;
}
这样很安全吗?我清理所有我用mysql_real_escape_string
插入db并输出htmlspecialchars
。我是一个非常怀疑的人:P
谢谢
关于这个话题,stackoverflow已经有了很好的解释。基本上你肯定需要在你的输入和输出上工作才能真正安全!