防止表单注入，转义掉html和script代码
第一次做项目，想问问怎么转义掉用户输入的html和script代码，然后再存入数据库，脚本的和java类的都可以，请大家贴代码谢谢，刚出来工作，后台开发完了老大给了2个新的要求，要防止重复提交（这个我做好了），现在就是表单注入了，请大家多多帮助 谢谢
------解决方案--------------------
防表单注入，单这个注入方式就有很多种，一般正常点处理就可以了。比如用preparedStatement等。如果是银行项目或者安全性比较高的项目需要全面考虑各种注入。
------解决方案--------------------
何苦自己写，preparedStatement就实现了。
------解决方案--------------------
http://blog.51yip.com/php/1031.html

用户输入的东西是不可信认的，例如，用户注册，用户评论等，这样的数据，你不光要做好防sql的注入，还要防止JS的注入,html的注入。
一，javascript注入的危害
举个简单的例子，我在一个网站留言了，并且这个网站没有对JS进行过滤,我在留言中加入以下内容
查看复制打印?
<script language=javascript>  
 for(i=0;i>=0;i++){  
 alert('我弹');  
 }  
 </script>  
上面的代码虽然简单，可是可以无限循环，并且会一直弹东西出来，让人感觉很不爽，直到浏览器没有响应为止。浏览您网站的人，第一反应肯定是这个网站有病毒。
解决办法
查看复制打印?
$comment = preg_replace("/<[^><]*script[^><]*>/i",'',$comment);  
把里面的javascript标签去掉就行了。
二，html注入的危害
1，容易引起页面错乱，对用户输入html标签不做处理的话，在读取的时候，很有可能就会破坏页面的布局。
2，影响seo，做seo的人都知道，pr高的网址，如果有链接，链到你的网站的话，可以加大自己网站的权重，这也是为什么有那么多人喜欢在高pr网站灌水的原因了。如果你没有对html标签进行处理的话，我输入以下内容
查看复制打印?
<a href="http://XXX.com" style="display:none;">XXX.COM</a>  
XXX.COM是个不河蟹网站,政府肯定会河蟹的,如果你的网站有链接到这样的网址,很有可能导致,你网站权重降低.
危害肯定不止这二个,因此要对这些html标签进行处理
查看复制打印?
$comment = preg_replace("/<[\/\!]*?[^<>]*?>/si",'',$comment);  
过滤的方法有好多，也可以直接把<>这样的符号转义掉，或者直接删除掉都是可以的。
------解决方案--------------------
数据的话一般是用户填写的什么数据，数据库就存什么数据。在页面上进行转义。

比如用 JSTL 的话，<c:out value="${name}" /> 会自动转义。
------解决方案--------------------
有时，假如你的网站提供一些JS供用户调用的话，那就要允许用户使用<SCRIPT>标签，只不过在地址上需要再进行鉴别和限制。

因此，怎么阻止，是要根据网站的功能和具体每一处地方的实际性质来处理的。只要你基础学过，那么，知道要干什么，就自然知道怎么干，没什么难点，只是牢固掌握基础之后的适当选择使用。