我有一個PHP的Web應用程序。我不想讓用戶發佈HTML到我的網站。用strip_tags()防止XSS?
如果我簡單地在保存到我的數據庫之前對所有數據運行strip_tags
(),那麼strip_tags
()是否足以防止XSS?
我問,因爲如果XSS被阻止,我不清楚documentation of strip_tags。瀏覽器似乎有一些錯誤,允許<0/script>
(是,零)作爲有效的HTML。
UPDATE
我意識到,我可以簡單地運行在所有輸出的數據htmlspecialchars
;然而,我的想法是 - 因爲我不想首先允許HTML,所以在保存在我的數據庫之前,一勞永逸地清理我的數據更簡單(並且學術上更好),然後每次都必須擔心如果數據是安全的,我輸出數據。
+1無論如何,使用'htmlspecialchars()'來確保至少沒有任何東西被意外*解析,就好像它是HTML一樣。 – BoltClock 2010-08-31 02:32:55