我正在研究一個Web應用程序,它允許用戶在目錄中鍵入項目的簡短描述。我允許在我的textareas Markdown,所以用戶可以做一些HTML格式。 - 沒有其他HTML,甚至是「基本Markdown(帶strip_tags)足以阻止XSS攻擊嗎?
public function sanitizeText($string, $allowedTags = "") {
$string = strip_tags($string, $allowedTags);
if(get_magic_quotes_gpc()) {
return mysql_real_escape_string(stripslashes($string));
} else {
return mysql_real_escape_string($string);
}
}
從本質上講,所有我在數據庫中存儲的降價:
我的文字淨化功能在數據庫中插入之前去掉任何輸入的文本所有標籤HTML「(就像在這裏)是允許的。
是否允許降價存在任何安全威脅?即使沒有標籤,減價可以XSSed嗎?
風險在那裏,減價非常容易妥協。看到我的答案。 – 2011-07-26 19:51:02