Итак, я знаю, что вы можете сделать $words = htmlspecialchars($_POST['name']);
в php, чтобы избежать специальных символов и предотвратить некоторые инъекции html.
Но у меня возникли проблемы с реализацией его в моем php-коде. Я читал, что вы должны использовать его, прежде чем отображать то, что вы показываете зрителю сайта, но я не знаю, как это сделать. Я немного новичок в php.
Итак, я смог выполнить часть SQL-инъекции, но вот часть кода, на которой я застрял, как я описал выше.
Я пытаюсь предотвратить html-инъекцию для заголовка блога и тега
$result= mysql_query("SELECT * FROM Bpost");
echo '<div class = "blog" align = "center">';
while($row = mysql_fetch_array($result))
{
echo "<div class = 'tname'>";
echo $row['title'];
echo '</div>';
echo '<div class = "bpost">';
echo $row['blog'];
echo '</div>';
echo '<div class = "tag">';
echo $row['tags'];
echo '</div>';
echo '</br>';
}
echo '</div>';
Если вам нужен пример кода из других моих материалов, дайте мне знать. Мне кажется, что этого было достаточно.
mysql_*
функции в новом коде. Они больше не поддерживаются и официально объявлены устаревшими. Видите красное поле? Узнайте о подготовленных операторах и используйте PDO или MySQL — эта статья поможет вам определиться. Если вы выберете PDO, вот хороший учебник. - person Naftali aka Neal   schedule 13.12.2012