URLを作成するフォーム入力からHTML（またはその他）を取り除く方法

Question

URLを作成するための簡単なフォームがあります。送信アクションの際にURLにユーザーを持ち込みます。

<form method="get" class="searchform" action="/srch"> 
    <label for="s" class="assistive-text"><?php _e('Search'); ?>:</label> 
    <input type="text" class="field" name="fwp_general_search" id="s" title="Search Field" placeholder="Enter Terms Here..." /> 
    <input type="submit" class="submit" id="searchsubmit" title="Search Button" value="Search" /> 
</form> 

これはうまく動作し、ユーザーを意図したとおりにURLに誘導します。

しかし、いくつかの脆弱性を防ぐため、そのテキストフィールドに挿入できるHTMLや他のタグを取り除きたいと思っています。その入力からタグを取り除くにはどうすればよいですか？

Answer 1

バックエンドの入力によって何が行われるかによって異なります。データベースと一緒に使用している場合は、SQLインジェクションを防ぐためにプリペアドステートメントを調べて、ユーザに入力を表示している場合は、htmlspecialchars()などの関数を使用してエスケープして出力を確保したい場合は、 strip_tags()などが挙げられる。

PHPも少し検索を傷つけることはありません、このようなhttps://secure.php.net/manual/en/filter.filters.validate.php