>从帖子中删除所有HTML标记.在PHP中,您可以使用strip_tags()函数执行此操作.
>对所有字符进行编码,以便用户输入< b> hello< / b>它显示为< b> hello< / b>.在PHP中,这是htmlspecialchars()功能. (注意：在这种情况下,您通常会将内容按原样存储在@R_301_457@中,并在输出内容的任何位置使用htmlspecialchars.)
>使用HTML清理程序,例如HTML Purifier.这允许用户使用某些HTML格式,例如粗体/斜体,但阻止恶意Javascript和您希望的任何其他标记(例如< object>在您的情况下).