1、可以使用textarea进行显示;
2、首先进行html编码后再显示:
使用下面的函数html_encode对html字符串进行编码然后显示:
function html_encode(str){
var s = ""
if (str.length == 0) return ""
s = str.replace(/&/g, ">")
s = s.replace(/</g, "<")
s = s.replace(/>/g, ">")
s = s.replace(/ /g, " ")
s = s.replace(/\'/g, "'")
s = s.replace(/\"/g, """)
s = s.replace(/\n/g, "<br>")
return s
}
function html_decode(str)
{
var s = ""
if (str.length == 0) return ""
s = str.replace(/>/g, "&")
s = s.replace(/</g, "<")
s = s.replace(/>/g, ">")
s = s.replace(/ /g, " ")
s = s.replace(/'/g, "\'")
s = s.replace(/"/g, "\"")
s = s.replace(/<br>/g, "\n")
return s
}
htmlspecialchars函数是把一些预定义的字符转换为HTML字符实体,HTML字符实体可以被浏览器解析。addslashes函数的作用是在预定义的字符前面加上反斜杠转义。
addslashes通常用于防止sql语句注入,如当传递过来的数据带有引号时可能会改变拼接的sql语句,从而更改数据库 *** 作。
htmlspecialchars通常用于防止脚本攻击,如当传递过来的数据带有<script>while (true) {alert('关不掉!')} </script>脚本,在读取出来后会导致执行脚本代码,转换后会变成字符串输出,不执行代码。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)