8.
@3208c,你可以使用&
#…;语法打出很多特别的字符,并且这样做是安全的。所以虎绿林没有任何过滤它的必要。
9. $t=html_entity_decode($t,ENT_QUOTES,"utf-8");
$t=htmlspecialchars($t,ENT_QUOTES,"utf-8");
它们保证了html实体字符的使用是安全的。
12.
@老虎会游泳 虽不影响安全,但却出现了空标题空回复的现象,至少在标题及内容回复时要做个判断
13.
@3208c,我判断了,但是没有效果。如果要彻底防止这些问题,我需要处理UTF-8空格、中文空格等等很多字符,太麻烦了。而且如果你故意发空标题的贴也可以很方便的通过执行SQL删除。
15.
@老虎会游泳 对于类似&(防)nbsp;的只要将&替换成&(防)amp;就行了,其他空格好判断吧,除了用" "还可以用[[:space]]进行判断