เว็บบอร์ด PHP เว็บส่งเสริมการเรียนรู้ Hosting CRM ERP Server Programming ถาม-ตอบปัญหา

$name = $_POST['name'];
$name = htmlspecialchars($name);

ทำได้แล้วครับ ขอบคุณครับ

หลังจากรับค่าใน input ให้เราใช่คำสั่ง htmlspecialchars ก่อนจะนำค่า input นั้นออกมาแสดง

[code]
$name = $_POST['name'];
$name = htmlspecialchars($name);
[/code]

ผลที่ได้

[attachment=0]Selection_999(1340).png[/attachment]

input เป็น text ธรรมดาย่อมทำได้
แต่เราต้อง ป้องกันต้อนแสดงผล ไม่ให้ echo tag javascript หรือ tags html จากข้อมูลที่ input เข้าไป
ลองดู
https://www.mindphp.com/%E0%B8%84%E0%B8%B9%E0%B9%88%E0%B8%A1%E0%B8%B7%E0%B8%AD/63-%E0%B8%9F%E0%B8%B1%E0%B8%87%E0%B8%81%E0%B9%8C%E0%B8%8A%E0%B8%B1%E0%B9%88%E0%B8%99-php/557-htmlspecialchars.html

<script language="javascript">alert('Please input Input 1'); </script>

พอดีว่าผมมีช่องที่ทำให้ผู้ใช้กรอกชื่อ แต่ว่าถ้าเราใส่ javascript เข้าไปแล้วกลายเป็นการ run คำสั่ง javascript ครับ
อยากทราบวิธีแก้ว่าจะทำอย่างใรให้ input ของเราไม่สามารถรัน javascript ได้ครับ

ลองใส่โค้ดนี้ลงในช่อง input

[code]<script language="javascript">alert('Please input Input 1'); </script>[/code]

[attachment=1]Selection_999(1338).png[/attachment]

ผลที่ได้
[attachment=0]Selection_999(1339).png[/attachment]