尝试在字符串上使用
htmlspecialchars()
放入 DB,然后将其拉回时,使用 htmlspecialchars_decode()
。 可能会有所作为。
将其保存到 nvarchar(max) 字段。
为了安全起见,请确保使用参数化查询。阅读
http://www.aspnet101.com/2007/03/parameterized-queries-in-asp-net/
http://msdn.microsoft.com/msdnmag/issues/04/09/SQLInjection/
对 Sql 做一点改动,也可以应用到 Mysql
将 html 代码保存到数据库中没有问题。并且在保存之前无需过滤数据。 但是当您想在
textarea
中再次显示它时,您应该 Escape
它。
在 php 中你可以使用此代码来转义 html 代码:
PHP 函数
参见文档:htmlspecialchars
$cotnent = htmlspecialchars( $cotnent );
Wordpress 功能:
参见文档:format_to_edit
$cotnent = format_to_edit( $cotnent , false );
或
参见文档:esc_textarea
$cotnent = esc_textarea( $cotnent );