我正在使用htmlpurifier庫來消毒我的傳入參數。但它不會過濾空字節(例如%00)。我錯過了什麼或圖書館不支持它?我會被要求使用reg-ex嗎?感謝任何答案。在請求中過濾空字節
編輯:
我使用htmlpurifier與配置選項
$config = HTMLPurifier_Config::createDefault();
$config->set('Core', 'Encoding', "UTF-8");
$config->set('Cache', 'SerializerPath', "/webdirs/htmlpurify");
對於測試字符串
';</script><%00script>alert(845122)</script>
我得到的輸出
';<%00script>alert(845122)
指揮官 - 謝謝你的回覆。我添加了一些代碼,但不確定是否足夠。讓我知道你是否需要任何其他細節。 – pinaki 2010-07-19 04:50:19
問題是我無法使用html特殊字符作爲htmlpurifier的輸出。所以我在它上面運行一個html_entity_decode。現在這個值導致了這個問題。他們有什麼方法可以告訴htmlpurifier刪除腳本標記,即使在兩者之間有%00時也是如此? – pinaki 2010-07-20 14:30:46
呃,再來?爲什麼不能使用HTML特殊字符作爲HTML Puriifer的輸出?(運行html_entity_decode是做錯事的錯誤方法,並且肯定會導致安全漏洞) – 2010-07-20 17:16:51