第一支PHP程序,一个留言板.求指导.

用strip_tags

应该禁止HTML代码的。。。。。。
我承认width:1%是我写的。。

进去 看不到东西 哦

@fanzeyi 太狠了，什么也看不到了，只看到中间一道光柱

@flytwokites 好了 我给删了= =

然后他就给其他两个删了。。

其实我估计SQL注入也米有做吧。。。 不过没有试。。 不会。

现在你看到的状况是我用<!-- --> 来做的。。。

提供解决方法。。 talk_delete.php?id=58

给你一个小建议 ...

所有需要写数据库的内容在进入 SQL 语句之前使用 mysql_escape_string() 处理一下 ...

我在最开始用 php 的时候通常使用的方式是这样的 ... 比如插入一条记录 ...

mysql_unbuffered_query( sprintf(
'INSERT INTO `tablename` ( `text` ) VALUES （ \'%s\' );',
mysql_real_escape_string( $_POST['text'] ) ),
$conn );

所有需要显示在页面上面的内容 ... 输出之前用 htmlentities() 处理 ...

在 php 短标签开启的情况下可以用下面的方法在页面内嵌入动态内容 ...

<?=htmlentities($rs->text);?>

其中 $rs 是通过 mysql_fetch_object 获得的对象 ...

这两种方式都不是最优的 ... 但是可以有效的避免现在混乱的状况 ...

好萌的背景……
文字排版果然是有 @SolidZORO 精神的超小字号啊……

如果精致htm 这样lstr_replace('<','&lt;',$text) 这样也可以，不过我又想让人用html发图片什么的，这个现在我还暂时没找到解决的办法。所以嘛，就只是 禁用了 <script 之前连这个都没禁用的时候 超夸张的。被不停的跳转。。。

strip_tags我找了一下，要是有demo一个范例就好了。我对那种语法介绍蛮摸不着边的。。

@Sunyanzi 谢谢你的一大串文字，我明天要用这样的方法做一次全面的安全检查。 虽然现在我还不明白你说的是什么意思。

@lianghai 这是我一贯的风格。做的demo简单一点就行。而且tahoma在小字号还不错。当然如果用ms gothic来显示英文也是非常不错的。哈哈。如

植入alert成功，麻烦删掉#73

@SolidZORO 如果明天做安全检查的话，建议先将demo删掉，否则对后来的访问者有些不负责任了。

抱歉抱歉，顺手把样式改了……

@Sai ....................

php处理安全问题只要记住两点：对输入进行过滤，对输出进行转义.

wii上的全明星大乱斗X玩不了，果然FAMI通满分作品比较难折腾。

哈哈，@Anylei 任意吧。 反正是demo。 大家任意改就是了。如果有闲情的话，我是要看看大家能够改得如何离谱。我后面也好学学。

@lamengao 受用了，你这句精辟。

A，防止html标签注入被输出，使用strip_tags在输出的时候，对可能被用户输入污染的任何字符串进行转义

B，SQL相当不安全，绝对应该避免直接将任何用户传递上来的(GET,POST)的数据拼接成sql语句，一定至少使用prepare+bindParam方式进行查询，并且尽可能对GET,POST全局变量进行预过滤，最后，干脆别用SQL了，改用nosql数据库