0
我正在爲我的Web應用程序構建基本安全層。我正在驗證我正在採取的步驟。目前的焦點是XSS,所以我在這篇文章中沒有觸及數據庫。這是我迄今所做的:保護我的Web應用程序免受惡意輸入
- 用htmlspecialchars()所有的用戶輸入
- 黑名單某些關鍵字{「」,「」,「文/ JavaScript的」}:我使用的preg_replace與子這些話「」而是。
- 輸出轉義所有動態內容。
所有這些看起來像一個非常平凡的安全層。誰能推薦更好的策略?