摘要： 过滤输入 (即来自所列数据源中的任何数据)是指，转义或删除不安全的字符。在数据到达应用的存储层之前，一定要过滤输入数据。这是第一道防线。假如网站的评论表单接收html，默认情况下 访客可以毫无阻拦地在评论中加入恶意的<script>标签，如下标示： 上面例子。如果不过滤这个评论，恶意代码会存入数据库 阅读全文