PHP $ _SERVER ['HTTP_HOST']轉義，這看起來可以接受嗎？

我剛剛瞭解逃脫的事情，並開始閱讀如何使用由於XSS攻擊導致的$_SERVER['HTTP_HOST']風險。

我想出了這個問題，並想知道我的嘗試是否能得到一些反饋。

htmlspecialchars(
    filter_var($_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL), 
    ENT_QUOTES, 'UTF-8' 
)

它看起來好嗎？

這很大程度上取決於這一個變量是安全的，我只是要求輸入。

編輯：

我會用這顯示整個網站，包括基本的錨HREF中，表單動作等

2009-09-22 Jeff

不同逸出功能應當用於不同的情況，例如：

urlencode爲將在查詢字符串在<a>標籤，即，被丟棄的物品。 echo '<a href="index.php?foo=' . urlencode($foo) . '">';（見http_build_query）
mysql_real_escape_string變量在SQL語句中去（雖然我更喜歡綁定變量）
htmlentities您要顯示給用戶的字符串，這可能有內HTML（見strip_tags）

2009-09-22 20:05:25

這取決於你想用什麼做的。如果你想顯示它，請使用htmlspecialchars。如果您想用作數據庫查詢，那麼在mysql的情況下可以使用mysql_real_escape_string。（或準備的語句）

2009-09-22 19:35:37 erenon

回答