- 确保关闭了魔术引号,或者,如果不能禁用它们,请清除其中的字符串。请阅读手册以获取详细信息:http : //www.php.net/manual/zh/security.magicquotes.php
- 将文本插入数据库时,请 一次 使用SQL语法正确地对其进行转义,或者最好使用准备好的语句。请参阅如何防止在PHP中进行SQL注入?和伟大的逃避现实主义(或:在文本中使用文本需要了解的内容)。
- 当输出为HTML时,可
htmlspecialchars
用于避免HTML注入或普通语法问题,然后用于nl2br
格式化专门用于HTML的换行符。
基本上就是这样。
