8
我應該使用htmlentities和strip_tags嗎?strip_tags和htmlentities
我正在使用strip_tags添加到數據庫並考慮刪除輸出上的htmlentities;我想在服務器上生成HTML時避免不必要的處理。
僅使用strip_tags沒有允許的標籤是否安全?
A
回答
14
第一:只在需要時才使用轉義方法。即如果將某些內容插入數據庫中,則只能將其轉義爲數據庫,即應用mysql_real_escape_string(或PDO->quote或您正在使用的任何數據庫層)。但是還沒有對輸出應用任何轉義。沒有strip_tags或類似的。這是因爲您可能想要將數據庫中存儲的數據用於其他地方,其中HTML轉義不是必需的,但僅使文本變得醜陋。
第二:你不應該使用strip_tags。它完全刪除了標籤。即用戶沒有得到與他輸入相同的輸出,而是使用htmlspecialchars。它會給用戶相同的輸出,但會使其無害。
9
strip_tags將刪除所有的HTML標籤:
"<b>foo</b><i>bar</i>" --> "foobar"
htmlentities將編碼如果使用htmlentities這是在HTML
"a & b" --> "a & b"
"<b>foo</b>" --> "<b>foo</b>"
特殊字符的字符,那麼當你輸出字符串到瀏覽器,用戶應該看到他們輸入的文本,而不是HTML
echo htmlentities("<b>foo</b>");
目測結果:< B>富</B>
echo strip_tags("<b>foo</b>");
結果:FOO
3
我不會使用ヶ輛,因爲這將允許你插入的字符串是到數據庫,對賬戶細節或論壇沒有好處。
使用mysql_real_escape_string插入到數據庫中,並用strip_tags從數據庫recreiving和呼應到屏幕
0
試試這個,看看差別:
<?php
$d= isset($argv[1]) ? $argv[1] : "empty argv[1]".PHP_EOL;
echo strip_tags(htmlentities($d)) . PHP_EOL;
echo htmlentities(strip_tags($d)) . PHP_EOL;
?>
打開CMD或終端和鍵入如下內容;
php your_script.php "<br>foo</br>"
這應該得到你想要的和安全!
相關問題
- 1. strip_tags + htmlentities +在WYSING編輯器中特殊的textarea
- 2. 什麼是更好的用戶體驗strip_tags或htmlentities在PHP?
- 3. HtmlEntities和Zend TextArea
- 4. 問題strip_tags和nl2br
- 5. 笨character_limiter和strip_tags的
- 6. htmlentities和é(e急)
- 7. strip_tags和修剪不正常
- 8. PHP:htmlentities/strip_tags
- 9. nl2br和textarea上的htmlentities
- 10. htmlentities和法國字符
- 11. htmlentities mysql_real_escape_string
- 12. PHP htmlentities
- 13. php strip_tags問題
- 14. PHP strip_tags plus htmlspecialchars
- 15. strip_tags()的用法
- 16. kses v.s. strip_tags
- 17. PHP strip_tags()函數
- 18. JSON htmlentities javascript
- 19. php htmlentities corrupt string
- 20. htmlentities()與htmlspecialchars()
- 21. 用HTMLENTITIES轉義
- 22. PHP strip_tags和標記大小問題
- 23. MySQL_查詢和PHP函數strip_tags()
- 24. 我可以使用mysql_real_escape_string和strip_tags嗎?
- 25. htmlentities和json_encode,如果使用json_encode轉義數據,我需要使用htmlentities嗎?
- 26. PHP用strip_tags()困擾
- 27. 用strip_tags不工作
- 28. 快速地用strip_tags
- 29. 用strip_tags()防止XSS?
- 30. 用strip_tags截斷JSON
@Beck我刪除了我的答案,因爲仔細觀察,我不確定strip_tags()是否實際上是不安全的。我開始了一個關於[這裏]的具體問題(http://stackoverflow.com/questions/5788527/is-strip-tags-vulnerable-to-scripting-attacks)。 – 2011-04-26 09:37:51
好的隊友:)我想我將不得不爲自己找到一個適當的生成頁面緩存工具,而你決定是否安全。 :P – Somebody 2011-04-26 09:50:19
是啊! :)供參考,從我的問題的HTML淨化器鏈接:http:// htmlpurifier。org /但你爲什麼要首先在'htmlspecialchars()'上使用'strip_tags()',有什麼特別的理由? – 2011-04-26 09:51:14