例如,如果我colecting的形式[URL值],保存該[URL值]在數據庫中,然後利用它在一個頁面是這樣的:如何防止使用PHP在URL表單域中注入HTML?
<a href="[URL value]" > The Link </a>
怎麼辦我避免這種情況[URL值]:
http://www.somelink.com"> Evil text or can be empty </a> ALL THE EVIL HTML I WANT <a href="
我怎樣才能防止這種HTML注入了URL形式的Fileds而不破壞的URL的情況下,它是有效的?
這就是它!如果我將htmlspecialchars應用於每個URL(錯誤或有效),它不會破壞URL,但可以防止HTML注入。 – Bonfocchi 2010-10-28 15:09:22