Очистка ввода формы для администраторов

htmlentities() и htmlspecialchars() используются при выводе данных. Кодирование и экранирование отличаются.

Если вам не нужен HTML, я рекомендую использовать strip_tags(), чтобы очистить его от любых тегов HTML, и использовать html* при выводе содержимого.

Кроме того, вы можете подумать о переходе на MySQL PDO. Это гораздо более предпочтительный и безопасный способ выполнения ваших запросов.

Термин, который вы ищете, это Cross Site Scripting или XSS для краткости. Поиск по этому вопросу должен дать вам множество ресурсов, таких как этот вопрос прямо здесь, на StackOverflow. .

Правильный ответ сильно зависит от вашего приложения.

Многим административным системам нужен способ, позволяющий администраторам манипулировать HTML. Но некоторые HTML более опасны, чем другие.

Как сказал JohnP, strip_tags() может быть удобным, так как второй параметр позволяет явно разрешать определенные, безвредные теги (например, или ), удаляя все остальное (например, или )

Если вам нужно что-то более сложное, вам нужно будет провести более тщательный анализ и найти решение, адаптированное к вашим потребностям. (Подсказка: если это решение предполагает использование регулярных выражений для сопоставления тегов HTML, вы, вероятно, захотите сделать шаг назад)

Вы должны использовать htmlentities() .

Вы можете использовать функцию magic_quotes для очистки, если вы используете php 4 или меньше, php 5.2 или меньше.