回答
htmlspecialchars()
足以防止XSS。
地帶標籤刪除標籤,但不是特殊字符,如"
或'
,所以如果你使用strip_tags()
你也必須使用htmlspecialchars()
。
如果您希望用戶的評論像他們鍵入一樣顯示,請不要使用strip_tags,只能使用htmlspecialchars()。
Downvoter解釋他爲什麼低估了? – arnaud576875
我不能說downvoters,但你的最後一行似乎完全錯誤;你應該總是使用'htmlspecialchars'(當你輸出到瀏覽器時...)**除了**當你希望用戶能夠執行代碼時(比如在jsbin中) – jeroen
@jeroen你錯過了'Use htmlspecialchars )只,'。這意味着如果你希望你的用戶的評論像他們鍵入一樣顯示,不要使用strip_tags;只能使用htmlspecialchars。 – arnaud576875
- 1. 我應該使用URL重寫,以防止XSS
- 2. 替代使用c:out來防止XSS
- 3. XSS泄漏時不使用htmlspecialchars
- 4. 使用Ajax顯示時防止XSS
- 5. 我是否需要在HTML表單中使用htmlspecialchars()用戶輸入來防止XSS?
- 6. 用strip_tags()防止XSS?
- 7. 用PHP防止XSS
- 8. 我應該使用ENT_QUOTES與htmlspecialchars
- 9. PHP防止xss
- 10. 防止DOM XSS
- 11. 防止Javascript和XSS攻擊
- 12. 如何在防止XSS的同時允許使用<img>?
- 13. Struts XSS預防 - 防止GET XSS
- 14. 我應該使用__new__來防止實例化嗎?
- 15. 防止XSS攻擊
- 16. 防止XSS漏洞
- 17. 防止XSS攻擊
- 18. jquery ajax防止xss
- 19. XSS:REQUEST_URI運行htmlspecialchars() - 然後用&替換&足以防止XSS注入?
- 20. 如何使用Struts防止XSS漏洞
- 21. 我們應該如何防止*只*破壞頁面渲染的XSS攻擊?
- 22. 防止mysql注入和xss atack
- 23. $ _SERVER ['REQUEST_URI'] - 防止XSS和其他攻擊
- 24. 防止SQL注入和XSS攻擊
- 25. 功能PHP防止SQL注入和XSS
- 26. 如何防止對XSS和SQL注入
- 27. 我應該採取什麼預防措施來阻止用戶提交的HTML上的XSS?
- 28. 防止xss攻擊/注入
- 29. CakePHP的:防止XSS攻擊
- 30. Json.Net Wrapper防止Xss攻擊
您的主要關注點應該是消毒用戶輸入,無論您如何處理它...如果您在任何數據庫查詢中使用輸入,您還需要使用適當的轉義算法將其轉義... –