1
有人告訴我,從我的數據庫輸出是雙重逸出基於作爲' " <使用htmlspecialchars進行輸入是多餘的,然後在輸出上使用htmlentities?
所以輸出等,是htmlspecialchars($content_to_escape, ENT_QUOTES)插入,然後echo htmlentities($content_to_echo);多餘的?
A
回答
1
將輸入存儲在數據庫中,如給定。
或者,您可以驗證輸入服務器端禁止某些字符。例如,對於街道名稱,您可能只允許使用字母數字和-,<space>和'字符。
但是,爲了防止XSS焦點應該在輸出編碼。每次輸出都使用HTML編碼函數。當您需要輸出到另一個上下文(例如,用於JavaScript的十六進制實體編碼,JSON編碼等)時,將原始輸入存儲在數據庫中會使事情變得更加簡單(因而更加安全)。
+0
我決定使用htmlspecialchars($ content,ENT_QUOTES,'UTF-8');你對那個怎麼想的? – janicehoplin
相關問題
- 1. 在輸入上使用更改,然後修改輸入的ATTR?
- 2. 在FFMPEG上使用管道進行輸入和輸出?
- 3. \\ n在輸入標記中顯示爲\ n - 在用戶輸入上使用htmlspecialchars()
- 4. 當不輸出到html時使用htmlspecialchars
- 5. htmlspecialchars()應該用於輸入信息還是輸出前?
- 6. htmlentities或htmlspecialchars或stripslashes?哪一個使用?
- 7. 問題與使用PHP進行排序,然後輸出
- 8. 使用malloc()進行多輸入?
- 9. 如何在使用htmlspecialchars()和htmlentities()後檢索原始文本
- 10. htmlspecialchars輸出$ _POST
- 11. 使用fwrite()和fread()進行二進制輸入/輸出
- 12. 笨 - 用htmlspecialchars()上輸入不工作
- 13. 用htmlspecialchars輸出運行查詢
- 14. htmlspecialchars + htmlentities不起作用
- 15. htmlentities()與htmlspecialchars()
- 16. 如何使用CSS進行選擇後出現輸入字段
- 17. 使用Sublime Text和Xcode在Mac上進行文件輸入/輸出。 C語言
- 18. 使用htmlpurifier進行輸入或輸出轉義/過濾
- 19. 獲取Amazon EMR使用S3進行輸入和輸出
- 20. 使用GUI進行控制檯輸入和輸出java
- 21. 使用jquery進行排序後使用jquery更新輸入值
- 22. 一次接受多個輸入然後發出一次輸出
- 23. 使用Hadoop多輸出寫入多個輸出啓用推測執行
- 24. 使用JTextField進行用戶輸入
- 25. 在文本輸入的值屬性中使用htmlspecialchars
- 26. 在多個輸入上使用datepicker
- 27. Python:爲什麼在使用write()時輸出中會出現多餘的空行?
- 28. 如何在java netbeans中使用jtextarea進行多行輸入?
- 29. 使用OleDbCommand在Excel中輸入多行
- 30. 在SML中使用輸入/輸出
當你把它放入數據庫時,你不需要轉義html(減去通常的sql注入保護)。這種轉義只能在OUTPUT上進行,因爲所使用轉義的目的(和類型)完全取決於輸出如何被使用。例如如果html永遠不會以可以呈現爲html的方式使用,那麼在進行html轉義時就沒有用處。 –
如果你把它放到數據庫中,你不應該使用'htmlspecialchars()'。你應該使用PDO來處理正確的加載。你仍然需要在輸出中進行消毒。 –
我正在使用PDO,綁定參數。所以不要逃避數據庫,逃避。 – janicehoplin