標題想很久不知道怎麼下……
想請教各位前輩們，
小弟目前在做一個發表留言的功能，
目前希望能做到的就是純文字 + 表情符號(emoji)，
未來可能會有放圖片連結然後產生預覽，不過這不是現在需要做的範圍。
環境是php + mysql
目前做到的是，可以辨識出直接輸入emoji，會以unicode儲存，
然後取出來的時候會用文字的方式顯示。
問題點在於，我有找到一個js的插件，
可以讓我在textarea裡面輸入例如「:smile:」，然後他會自動轉成
這樣子：「<span>...略...</span>」的HTML標籤，
透過這個標籤可以用CSS將APPLE emoji的"圖片"顯示出來。
然而，為了安全起見，我在儲存textarea文字時，
已經將「<」、「>」、「/」...等字眼轉存成HTML代碼了，例如：「&lt;」
所以上面那個js插件會變成我在文字框輸入：「:smile:」
結果顯示在網頁時，卻如實顯示「<span>...</span>」
不知道有沒有辦法只讓這個插件的HTML標籤可以順利轉換，
使用者輸入的標籤則一律如實顯示？
附帶一問，
因為小弟第一次寫php網頁，
不知道有沒有什麼比較安全的防止使用者在文字輸入處做攻擊？
目前作法是使用 $text = sub_replace("<", "&lt;", $text);
這樣子，將幾個特殊字元替換掉，
包括：<、>、\、&、\n、空白及雙引號(")
不知道這樣夠不夠安全……
簡單整理一下問題：
1. 有沒有什麼辦法可以讓使用者輸入特定的文字安全的存進資料庫，
　 並在取出時將該特定文字以HTML標籤方式呈現，其他非特定文字
　 則如實呈現？
2. 不知道是否有比單純在存進資料庫前把特殊字元replace掉更好的做法？
補充：
目前已改成在寫入資料庫前這樣做：$text = htmlspecialchars($text);
然後會以ajax的方式，將文章用json格式丟回來，稍微測試過，
感覺上應該ok？（原本replace方式後來發現完全不行……）
第一次發文有點囉嗦，先感謝各位前輩的指導！ <(_ _)>

設法讓你的資料庫裡只存 :smile:, 然後顯示時再透過插件問題 2 基本上就是 htmlspecialchars 沒錯

不是在寫入資料庫前做 html 的 escape，是在顯示 html的時候做 html 的 escape...不過其他就跟你想的差不多吧。另外是該存 :smile: 還是<img> 這有算喜好問題，有各自的優缺點

我讓:smile:存進資料庫後就順利顯示了 感謝escape的部份我會再試試看的 不知道存進前跟取出時做escape有差在哪裡嗎?

如果要把訊息塞入 javascript 或信件或其他地方，事先escape 會讓你沒辦法拿到你真正要的資料不管是 html 還是 sql，正確的 escape 時機點都是「要用之前的那一行」

用PDO ~

用pdo是否就可不用處理特殊字元

瞭解，感謝各位前輩。我是用PDO沒錯。另外我剛剛發現雖然htmlspecialchars在HTML不會出錯，可是\n就會變成換行符號而不能直接顯示...PDO主要是擔心SQL injection的部份吧特殊字則是擔心使用者直接輸入html或script

為啥不直接存 emoji 就好惹QQ (資料庫用utf8mb4)