2
我如何以及如何使用它?這真的是我需要防止XSS攻擊的一切嗎?有人可以解釋htmlspecialchars,mysql_real_escape_string,htmlpurifier和其他形式的注入防禦之間的區別。 HTMLPurifier是否抵禦JS攻擊?什麼是HTMLPurifier?
A
回答
6
在一個典型的用例中,你不要想要允許任何HTML。在這種情況下,你可以去除標記等,但只是這樣做不會保護你免受XSS(或SQL注入等)的侵害。
在不需要HTML的情況下,您可以使用htmlspecialchars等來轉義輸出以防止XSS。在這種情況下,您還將使用SQL轉義來防止SQL注入。
簡單地刪除所有標記並始終使用htmlspecialchars通常更容易。
當你的絕對要讓允許使用HTML時,這就是HTMLPurifier的意思。
相關問題
- 1. 您使用什麼樣的HTMLPurifier設置來淨化CSS?
- 2. htmlpurifier爲什麼會刪除允許的IMG標記?
- 3. 通過HTMLPurifier + CSStidy允許媒體查詢需要做什麼?+ CSStidy
- 4. htmlpurifier remove inline css
- 5. HtmlPurifier AutoParagraph + Html.Allowed
- 6. 允許在htmlpurifier
- 7. Codeigniter - HTMLPurifier配置
- 8. Htmlpurifier IMG SRC purify
- 9. HTMLPurifier的Youtube
- 10. htmlpurifier with borderRadius
- 11. HTMLPurifier:汽車BR
- 12. htmlspecialchars()vs htmlpurifier庫
- 13. HtmlPurifier disformats輸入
- 14. HTMLPurifier與Kses
- 15. HTMLPurifier真的是防彈的嗎?
- 16. HTMLPurifier iFrame/regex問題
- 17. HTMLPurifier轉換£回£
- 18. HTMLPurifier的addElement語法
- 19. Zend Filter Striptags vs HTMLPurifier
- 20. Htmlpurifier - 允許textarea的
- 21. HTMLPurifier破壞圖像
- 22. HTMLPurifier允許屬性
- 23. HTMLPurifier配置錯誤
- 24. HTMLPurifier不起作用
- 25. HtmlPurifier重複鏈接
- 26. HtmlPurifier - 允許名稱屬性
- 27. HTMLPurifier iframe Vimeo和Youtube視頻
- 28. HTMLPurifier沒有XML聲明
- 29. htmlpurifier自定義屬性
- 30. HTMLPurifier允許居中文本
請考慮使用谷歌這樣的問題。 – mario 2012-02-11 22:59:21