我正在尝试防止XSS注入。因此,在我提交表单之前,会调用javascript函数
function validatefield(id) {
var description = document.getElementById(id).value;
description = description.replace(/[\"\'][\s]*javascript:(.*)[\"\']/gi, "");
description = description.replace(/script(.*)/gi, "");
description = description.replace(/eval\((.*)\)/gi, "");
document.getElementById(id).value=description;
}
我想知道在插入mysql之前是否有办法在php中做同样的事情?如果他们绕过validatefield函数。
谢谢
您正在寻找preg_replace。
$description = preg_replace('regex pattern', 'regex replacement', $description);
京公网安备 11010802040832号 | 京ICP备19059560号-6 