1、HTML，又要過濾其中的腳本Tidy 等 HTML 清理庫可以幫忙，但前提是我們小心地使用僅僅粗暴地去掉 script 標(biāo)簽是沒有用的，任；上傳如 類型的文件名，可以避免對(duì)于php文件的過濾機(jī)制，但是由于apache在解析文件名的時(shí)候是從右向左讀，如果。

2、PHP的 strip_tags 可以過濾掉 html 標(biāo)簽，黑客提交的 js 代碼中和ml 渲染完的代碼為 value 屬性中那么 html 渲染完的代碼為 value 屬。

3、301index中包含了一個(gè)connphp文件，它主要內(nèi)容是對(duì)數(shù)據(jù)庫的一個(gè)連接作用然后發(fā)現(xiàn)會(huì)重定向到loginphp文件里面發(fā)現(xiàn)有一段html表；過濾輸入數(shù)據(jù)中的危險(xiǎn)字符惡意用戶可能嘗試通過輸入特殊字符來執(zhí)行SQL注入或跨站腳本攻擊因此，必須對(duì)輸入數(shù)據(jù)進(jìn)行適當(dāng)?shù)摹?/p>