8
A
回答
18
htmlspecialchars()足以防止XSS。
地帶標籤刪除標籤,但不是特殊字符,如"或',所以如果你使用strip_tags()你也必須使用htmlspecialchars()。
如果您希望用戶的評論像他們鍵入一樣顯示,請不要使用strip_tags,只能使用htmlspecialchars()。
+0
Downvoter解釋他爲什麼低估了? – arnaud576875
+1
我不能說downvoters,但你的最後一行似乎完全錯誤;你應該總是使用'htmlspecialchars'(當你輸出到瀏覽器時...)**除了**當你希望用戶能夠執行代碼時(比如在jsbin中) – jeroen
+0
@jeroen你錯過了'Use htmlspecialchars )只,'。這意味着如果你希望你的用戶的評論像他們鍵入一樣顯示,不要使用strip_tags;只能使用htmlspecialchars。 – arnaud576875
相關問題
- 1. 替代使用c:out來防止XSS
- 2. 我是否需要在HTML表單中使用htmlspecialchars()用戶輸入來防止XSS?
- 3. 用PHP防止XSS
- 4. 用strip_tags()防止XSS?
- 5. PHP防止xss
- 6. 如何在防止XSS的同時允許使用<img>?
- 7. XSS:REQUEST_URI運行htmlspecialchars() - 然後用&替換&足以防止XSS注入?
- 8. 如何使用Struts防止XSS漏洞
- 9. 使用PHP來防止圖像內的XSS攻擊
- 10. 功能PHP防止SQL注入和XSS
- 11. 防止SQL注入和XSS攻擊
- 12. 我應該採取什麼預防措施來阻止用戶提交的HTML上的XSS?
- 13. 防止陣列從XSS
- 14. Json.Net Wrapper防止Xss攻擊
- 15. HTML-Entity轉義防止XSS
- 16. angularjs防止XSS攻擊
- 17. 使用Javascript的CreateElement時防止XSS攻擊
- 18. 如何在使用window.location.toString()時防止XSS攻擊
- 19. 我們應該使用什麼技術來防止使用相同的cookie登錄?
- 20. 防止WCF調用中的XSS攻擊
- 21. 輸出用戶輸入 - 防止xss
- 22. 我應該使用會話變量來防止無限網頁表單彈出?
- 23. 我應該採取哪些措施來防止SQL注入?
- 24. 我該如何使用這個dom xss?
- 25. 應該同時使用AppDomain.UnhandledException和Application.DispatcherUnhandledException?
- 26. 如何防止同時使用UIGestureRecognizers
- 27. 如何防止Grails的應用XSS攻擊
- 28. 我應該如何診斷和防止JVM崩潰?
- 29. 防止來自不同用戶的多個同時投票
- 30. 允許在表單輸入中使用代碼片段,同時防止XSS和SQL注入攻擊
您的主要關注點應該是消毒用戶輸入,無論您如何處理它...如果您在任何數據庫查詢中使用輸入,您還需要使用適當的轉義算法將其轉義... –