1、要實(shí)現(xiàn)也不是不可以可以使用ajax，把你javascript輸出的PHP代碼當(dāng)成參數(shù)，傳遞給一個(gè)PHP文件，讓這個(gè)文件執(zhí)行這段代碼，使用eval函數(shù)不過(guò)說(shuō)真的，危險(xiǎn)性是極高極高的，如果你只是為了學(xué)習(xí)，建議你可以試試如果是商用；scrolling=auto src=網(wǎng)馬地址，或者是你用360或病殺毒軟件攔截了網(wǎng)馬網(wǎng)址SQL數(shù)據(jù)庫(kù)被掛馬，一般是JS掛馬2找到了惡意代碼后，接下來(lái)就是清馬，如果是網(wǎng)頁(yè)被掛馬，可以用手動(dòng)清，也可以用批量清，網(wǎng)頁(yè)清馬比較簡(jiǎn)單；第一種PHP filter判斷一個(gè)變量的內(nèi)容是否符合要求使用函數(shù)filter_var，第一個(gè)參數(shù)是要判斷的變量第二個(gè)參數(shù)是判斷的要求，F(xiàn)ILTER_VALIDATE_EMAIL表示判斷是否符合email格式如果變量是類(lèi)似rsquoboy@163comrsquo的數(shù)據(jù)；一，HTML防注入一般的html注入都是在字符串中加入了html標(biāo)簽，用下JAVA代碼可以去掉這部分代碼代碼如下，自己封裝成方法即可String msge = quotasdasdasdasd asdfsdfquotmsge msge =；where方法使用字符串條件的時(shí)候，支持預(yù)處理安全過(guò)濾，并支持兩種方式傳入預(yù)處理參數(shù)，例如Modelwherequotid=%d and username=#39%s#39 and xx=#39%f#39quot，array$id，$username，$xxselect或者 Modelwherequotid；我測(cè)試了您的代碼，沒(méi)有問(wèn)題，可以正常跳轉(zhuǎn)，截圖附上；你過(guò)濾html時(shí)直接用strip_tags函數(shù)，空格就一塊去掉了或者直接替換一下，$str = str_replacequot靠，空格不顯示，這里應(yīng)該是空格符號(hào) quot，quotquot，$str。

2、php安全篇值過(guò)濾用戶(hù)輸入的人參數(shù)規(guī)則1絕不要信任外部數(shù)據(jù)或輸入關(guān)于Web應(yīng)用程序安全性，必須認(rèn)識(shí)到的第一件事是不應(yīng)該信任外部數(shù)據(jù)外部數(shù)據(jù)outside data 包括不是由程序員在PHP代碼中直接輸入的任何數(shù)據(jù)在采取措施確保安全之前，來(lái)；isUquot， 過(guò)濾 script 等可能引入惡意內(nèi)容或惡意改變顯示布局的代碼，如果不需要插入flash等，還可以加入object的過(guò)濾quot^*onazAZ+\s*=^*isUquot， 過(guò)濾javascript的on事件$tarr = arrayquot quot；用strip_tags函數(shù)是最直接的了，用正則也行，以下是PHP手冊(cè)中的過(guò)濾標(biāo)簽 lt？php search = array quot#39*？*？#39siquot， 去掉 javascript quot#39lt！*？^lt*？#39siquot， 去掉 HTML 標(biāo)記 quot#39\r\。

3、事實(shí)上還可能更加復(fù)雜，里面有可能會(huì)出現(xiàn)lt？php ？的內(nèi)容，相反也是有可能的，這個(gè)不好徹底避免對(duì)于較大型的項(xiàng)目，一般的辦法是使用模版，模版里面主要是htmlcssjs的內(nèi)容，php只有一些變量和少量的結(jié)構(gòu)，數(shù)據(jù)加工和處理；if ！get_magic_quotes_gpc如不美觀沒(méi)有開(kāi)啟的話 ***需要對(duì)這幾個(gè)數(shù)組，遍歷，注重?cái)?shù)組多維的情形，addslashes$str就可以 $_GET $_POST $_COOKIE $_REQUEST ***。

4、在你要傳參的地方，用ajax寫(xiě) ajax type quotPOSTquot，url quotaphpquot，data quotname=參數(shù)值1location=參數(shù)值2quot，success functionmsg alert quotData Saved quot + msg 在aphp頁(yè)用post接收兩個(gè)參數(shù)；解決方案1通過(guò)PHP過(guò)濾空值數(shù)據(jù)if $_POST#39字段#39 == #39#39 exit#39alertquot數(shù)據(jù)不合法quothistoryback#39 依此類(lèi)推，逐一判斷表單$_POST數(shù)據(jù) 解決方案2通過(guò)SQL查詢(xún)來(lái)過(guò)濾空值數(shù)據(jù)SELECT `字段名；2php過(guò)濾html字符串，防止SQL注入 批量過(guò)濾post，get敏感數(shù)據(jù) _GET = stripslashes_array$_GET_POST = stripslashes_array$_POST數(shù)據(jù)過(guò)濾函數(shù) function stripslashes_array$array whilelist$key，$var =。