那些遇到过的问题

防止摧毁utf8字符h_ಠ

Sca*_*ace 2 php security

我想过滤我的输出,使其更安全的跨站点脚本(XSS)攻击,所以我用htmlentities过滤输出.问题是,我试图使我的应用程序utf8兼容,所以当我输入类似ಠ_ಠ的东西时,我希望在从数据库中检索时进行维护.有没有简单的解决方案来实现这一目标?提前感谢任何建议.

Pet*_*ley 5

三件事

  1. HTML清理是输出转义任务,而不是输入过滤.你应该不是在存储之前做这个任务,你应该只做到这一点显示之前.
  2. 如果您试图阻止XSS,则不需要使用htmlentities()- htmlspecialchars()就足够了.htmlentities()仅在尝试从与本机编码不同的字符编码中呈现内容时使用.
  3. 两个 函数都接受字符编码作为第三个参数.

所以,最后:

echo htmlspecialchars( $content, ENT_QUOTES, 'UTF-8' );
Run Code Online (Sandbox Code Playgroud)

如果您使用ENT_NOQUOTES,则可能容易受到某些类型的XSS攻击.

归档时间:

查看次数:

211 次

最近记录:

15 年,6 月 前
相关归档
删除一个cookie 243
Array_merge与+ 110
保护网站管理部分的最佳做法是什么? 86
PHP:会话的默认生命周期是多少 54
PHP $这个变量 26
MySQL是否具有加密安全的随机数生成器? 8
接受图片上传时的安全问题 7
我如何保护mp4和flv视频 5
Azure 应用程序网关:后端服务器证书已过期。请上传有效证书 5
Laravel 4:如何保护资产文件夹? 3
难疑归档
为什么char []比字符串更适合密码? 3298
是什么 !!(不是)JavaScript中的运算符? 2906
在JavaScript中验证十进制数 - IsNumeric() 2318
使用jQuery禁用/启用输入? 2216
为什么模板只能在头文件中实现? 1660
使用Git从先前的提交中分支 1658
如何在Xcode 4中"添加现有框架"? 1426
为什么Java有瞬态字段? 1406
谁正在侦听Mac OS X上的给定TCP端口? 1267
R无法解析 - Android错误 1056