前两天用ThinkPHP做网站开发,后台调用百度编辑器提交数据。在做前端的时候调取数据库显示文章内容,在页面上却显示出如<p></p> <strong></strong>之类的字符。于是查看数据库,发现在数据库中存储的内容为<p></p>&nbsp;<strong></strong> ,百度一下,发现<>$amp;分别是< > &的转义字符。
为什么要将这些特殊字符转义呢?一般来讲,用户输入的东西是不可信任的,如用户注册,用户评论等。所以不光要做好防止sql的注入,还要防止JS的注入,html的注入。举几个简单例子。
一。javascript注入的危害。