那些遇到过的问题

Laravel 在刀片中使用 {!!nl2br(e())!!} 是否安全

Kio*_*iow 3 xss laravel

为了使用新行在 Laravel 刀片模板中输出文本,我使用以下命令:

{!! nl2br(e($prodData->text))!!}
Run Code Online (Sandbox Code Playgroud)

插入数据时,我不会对数据进行消毒,我只是将其修剪为仅允许连续两个新行,如下所示:

public function setDescriptionAttribute($description)
  {
      $this->attributes['description'] = preg_replace('~(\R{2})\R+~', '$1', $description);
  }
Run Code Online (Sandbox Code Playgroud)

但是现在我担心{!!nl2br(e())!!}会导致 xss 注入,所以使用安全吗?

Jon*_*eir 5

如果e()是安全的,那么{!! nl2br(e()) !!}就是安全的(“安全”与“安全”)。

{{ $foo }}相当于{!! e($foo) !!}。所以{!! nl2br(e()) !!}是适合自己情况的正确的方法。

关于@Loek 的回答:e()取决于htmlspecialchars(). 如果存在一个缺陷htmlspecialchars(),基本上每个 PHP 网站都会有一个问题。

归档时间:

查看次数:

1125 次

最近记录:

5 年,10 月 前
相关归档
laravel中的Jwt-Auth可以处理多服务器配置中的无效令牌吗? 11
Laravel Sanctum 自定义守卫 8
在配置文件中使用Config 7
获取条纹信用卡图像/图标 url api? 6
auth :: check()在ajax调用上失败(有时) 5
如何在刀片视图中动态插入代码 5
如何在Laravel中检查队列的状态? 5
如何对在Laravel 5中插入的Eloquent模型记录进行单元测试? 5
使用 PHPExcel 在公式中获取 0 5
在客户端阻止XSS(纯Javascript) 2
难疑归档
何时在Java中使用LinkedList而不是ArrayList? 2974
有没有办法对字符串进行子串? 1995
C++ 11引入了标准化的内存模型.这是什么意思?它将如何影响C++编程? 1810
Python中的switch语句的替换? 1719
在JavaScript中解析JSON? 1642
按值对地图<键,值>进行排序 1569
如何在Git中完全替换另一个分支中的master分支? 1549
将存储过程的结果插入临时表 1526
抽象函数和虚函数有什么区别? 1526
为什么Java有瞬态字段? 1406