マスターの皆様、私のメッセージ評価関数では 'alert(document.cookie) ='>alert(document.cookie)</ script> を防ぐことができません。などのコードによる攻撃がありますが、CSDN フォーラムでは問題ではないと思います。フォーラムのようなこのタイプの攻撃を恐れないようにするにはどうすればよいでしょうか。 <br> <br>本当に他に方法がない場合、中国語と英語(大文字と小文字)、数字、句読点など、通常の記事を書くのに使用される文字のみを受け入れる場合、コードはどのように記述すればよいですか? <br><br>ありがとうございます! <br> </p> <p> </p> <p> </p> <p> </p> <p> </p> 返信 ディスカッション (解決策) <br> <h2> </h2> コメントを送信するときは、htmlspecialchars 関数を使用してフィルターします。このコード構造がある場合: <p class="sougouAnswer">$bid=$_POST['bid'] </p>... <p class="sougouAnswer">$sql= insert into "abc" ('bid') 値 ($bid) .... </p> <p class="sougouAnswer">< ; フォーム><input name=bid>....</form> <br> フィルタリングを使用するにはどうすればよいですか?たとえば、私が送信した input name=bid,htmlspecialchars 関数を使用するにはどうすればよいですか? <br>あと、ちょっと勉強したんですが、この機能は何に使うんですか? http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp 定義済みの文字を HTML エンティティに変換すると書かれています。キャラクターは変わっていないのですが?ポイントは何ですか? <br>& (アンパサンド) は & になります <br>" (ダブルクォーテーション) は " " になります <br>' (シングルクォート) は ' になります <br>< (より小さい) になります < <br />> (より大きい) は > になります <br> <br> また、変換すると、データベース内の表示が変換されていると理解していますが、ページに表示されるスタイルとコンテンツが元のユーザー入力であるのはなぜですか?デコードする必要があるのでしょうか? <br></p>