У меня есть форма, в которой возможно ввести сообщение, которое в дальнейшем будет отображаться на сайте. Сообщения хранятся в MySQL
Столкнулся с такой проблемой: если ввести например
<form id="myForm">
<textarea rows="7" name="message_text" cols="30"></textarea>
<input onclick="FormClick(); return false" type="button" value="написать">
</form>
то соответственно форма сохраняется в БД и в дальнейшем при выводе происходит отображение данной формы. Также возможно насколько я понял и тот же Java-скрипт засунуть в сообщение.
Как можно исключить возможность загрузки такого "счастья" в БД, или же как загружать, но как-то экранировать куски такого кода?
1. bambr32 - 06 Февраля, 2015 - 21:43:06 - перейти к сообщению
2. OrmaJever - 06 Февраля, 2015 - 22:27:27 - перейти к сообщению