javascript - 后台新增数据，需要屏蔽插入<script>脚本-PHP中文网问答

微信公众号讲师中心

首页

文章

web3.0 后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题

后端开发 web前端数据库开发工具 php框架科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具

AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习

大前端后端开发数据库移动端运维开发计算机基础

编程手册

大前端 JavaScript 后端开发数据库移动端运维开发 UI设计计算机基础 XML Web Services

下载

js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机/移动开发手机游戏

最近更新

搜索

web3.0 后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程

javascript - 后台新增数据，需要屏蔽插入<script>脚本

伊谢尔伦 2017-04-10 17:17:48

[JavaScript讨论组]

682

1、做一个后台，用ajax来传数据到php接口，然后对数据库进行操作。假如新增一条数据为<script>alert("dfsaf");</script>的时候，应该怎么屏蔽呢？
2、试过在前台获取数据的时候用将每个字符串进行转义，试过在后台用mysql_real_escape_string()。可是数据库里面存的还是尖括号格式，并且还是会有弹窗。
3、用的这个函数进行的转义，然后网页上读取数据库的时候，alert语句还是照常执行了，求大神指点一二～

function html_encode(str){   
  var s = "";   
  if (str.length == 0) return "";   
  s = str.replace(/&/g, "&gt;");   
  s = s.replace(/</g, "&lt;");   
  s = s.replace(/>/g, "&gt;");   
  s = s.replace(/ /g, "&nbsp;");   
  s = s.replace(/\'/g, "&#39;");   
  s = s.replace(/\"/g, "&quot;");   
  s = s.replace(/\n/g, "<br>");   
  return s;   
}

伊谢尔伦

小伙看你根骨奇佳，潜力无限，来学PHP伐。

全部回复(3)

高洛峰2017-04-10 17:19:48 3楼

a) php有个专门的函数用来将特殊字符转换为实体字符的，htmlspecialchars()。
b) 其实比较省事的办法就是在输出的时候做转义，比如smarty有 escape 之类的方法
c) 使用所见即所得编辑器，这种编辑器内置了script标记过滤
d) 如果只是不让用script标签，那么存入数据库之前preg_replace('/<(script\b[^>]*)>/i', '%lt;$1%gt;', $content)也行
e) 如果前台没有该问题的话，最省事的办法是对后台的操作人员加强教育，让他们别乱搞。