摘要： 转载自:http://blog.sina.com.cn/s/blog_54318f230100mv46.htmlfunction replaceHtmlAndJs($document){$document = trim($document);if (strlen($document) <= 0){ return $document;}$search = array ("'<script[^>]*?>.*?</script>'si", // 去掉 javascript "'<[\/\!]*?[^< 阅读全文

摘要： 转载自:http://www.taocms.org/165.html1. 数据库的查询时，总是尝试，并使用准备的 parameterised 的查询。mysqli和PDO库支持这。这是比使用逃逸的功能，如 mysql_real_escape_string 无限的安全。是的 mysql_real_escape_string 实际上是只是逃避函数的字符串。它不是灵丹妙药。它将所做的一切是危险的转义字符，以便它们可以安全地使用单个查询字符串中。但是，如果你不做事先 sanitise 您的输入，然后您将容易受到一定的攻击媒介。想象一下以下的 SQL：$result ="SELECT fiel 阅读全文

摘要： 转载自:http://blog.csdn.net/chinayuy/article/details/5493606htmlentities htmlspecialcharshtmlentities ---会对中文产生乱码，所以POST时（即提交表单）时不要用htmlentities而GET（即URL提交时）就最好用htmlentities<?phpif ( isset( $_POST ) ) $postArray = &$_POST ; // 4.1.0 or later, use $_POSTelse $postArray = &$HTTP_POST_VAR... 阅读全文

摘要： 函数: strip_tags($str, $allow)作用: 去除html/xml和php标签.参数: $allow规定例外的标签, 允许这些标签不被删除.<?phpecho strip_tags("Hello <b>world!</b>");// output: Hello world!echo strip_tags("Hello <b><i>world!</i></b>","<b>");// output: Hello world!// 查 阅读全文