Как я могу избежать ввода пользователями php-кода в мою форму

Question

Как я могу запретить пользователям вводить <?php ?> в мои формы.

Я использую urlencode (), а затем использую urldecode () при выводе данных на мою страницу, что лучше всего делать ??

ОБНОВЛЕНИЕ:

Я пишу в базу данных с текстом в кодировке:

htmlentities (urlencode($_POST['postmessage']));

Я использую:

<?php echo htmlentities (urldecode($row['content'])) ?>

для отображения сохраненных данных.Этого достаточно?

Answer 1

Я бы предложил вам использовать Очиститель HTML для этого:

HTML Purifier соответствует стандартам Библиотека HTML-фильтров написана на PHP. HTML Purifier не только удалит все вредоносный код (более известный как XSS) с тщательно проверенным,
безопасный, но разрешающий белый список также убедитесь, что ваши документы соответствует стандартам, что-то только достижимо с всеобъемлющим знание спецификаций W3C.

Answer 2

что ты делаешь с кодом?выполнить это?когда вы повторяете php-код, вам не нужно беспокоиться о стороне сервера ... вы, скорее всего, захотите сделать html_entity_encode, чтобы ваш веб-сайт не испортился или не был введен в виде iframes / javascripts постами пользователя

Answer 3

Ну, вы можете избавиться от всех символов, которые не принадлежат URL

$var = filter_var($url, FILTER_SANITIZE_URL);

Затем вы можете проверить, что это действительный URL

$var = filter_var($url, FILTER_VALIDATE_URL);
if($var == false)
    die("Bad URL");