Bon*_*chi 0 php xss url code-injection
例如,如果我在表单中选择[URL值],将[URL值]保存在数据库中,然后在如下页面中使用它:
<a href="[URL value]" > The Link </a>
如何防止此[URL值]:
http://www.somelink.com"> Evil text or can be empty </a> ALL THE EVIL HTML I WANT <a href="
如何保护URL表单文件的这种HTML注入,而不会破坏URL,以防它有效?
在表单上收到URL时:
filter_var(url, FILTER_VALIDATE_URL)以确保URL是有效的格式.http://或以https://(或至少拒绝所有javascript:URL,因为它们可能包含恶意代码)开头显示页面时:
htmlspecialchars()逃脱您在HTML中插入的URL(和所有其他文本).