strip_tags не работает

Question

Я действительно отфильтровываю символы html вот так

$user = $_POST["user"]; //Get username from <form>
mysql_real_escape_string($user); //Against SQL injection
strip_tags($user); //Filter html characters out

Но по какой-то причине это не фильтрует символы html. Я не знаю почему, это может быть mysql_real_escape_string?

Answer 1

... Но вы имеете в виду:

$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out

?

Как сказано в других ответах (имеется в виду strip_tags(), но то же самое для mysql_real_escape_string())эти функции не изменяют строки напрямую, а возвращают измененную копию .Поэтому вы должны присвоить возвращаемые значения одной и той же (или другой) переменной!

Answer 2

strip_tags($user); //Filter html characters out

следует заменить на это:

$user = strip_tags($user); //Filter html characters out

strip_tags возвращает очищенное значение

См. Документ: http://nl2.php.net/strip_tags

Это то же самоес mysql_real_escape_string()

$user = mysql_real_escape_string($user); //Against SQL injection

Answer 3

Вы неправильно используете strip_tags:

string strip_tags (строка $ str [, строка $ allowable_tags])

Изменениекод для присвоения его возвращаемому значению должен исправить это

$user = strip_tags($user); //Filter html characters out

РЕДАКТИРОВАТЬ

Просто для полноты, спасибо за lorenzo-s за указание на это, вы такженужно сделать то же самое с mysql_real_escape_string

$user = mysql_real_escape_string($user); // Against SQL injection

Answer 4

Как уже говорилось

$user = strip_tags($user);

следует использовать, но я бы также поставил

mysql_real_escape_string($user);

ПОСЛЕ вызова функции strip_tags ();