tyl*_*erl 0 html php security xss textarea
我有一个带有textareas的PHP页面,用户可以更改,并且他们的值被保存并显示在另一个PHP页面上 - 我担心这可能容易受到XSS攻击(或者今天恶意黑客使用的任何东西)...我看到http ://htmlpurifier.org是避免XSS攻击的一个很好的解决方案,我在一个SO线程中读到,进入textarea的PHP代码被浏览器忽略而不是服务器端执行.我只是想知道htmlpurifier是否会完全保护我的网站,如果像IE6这样的老浏览器有可能不够智能忽略这样的PHP代码.这是我第一次制作一个复杂的网站,所以我会围绕安全主题提示......谢谢:)
另外,我使用了stripslashes和nl2br来避免使用撇号和换行符进行格式化问题,但是还有什么我应该使用它来避免意外的显示问题吗?
只需htmlspecialchars()在输出上使用,特殊字符不再具有字面含义,浏览器不会处理.
浏览器将忽略PHP代码本身.浏览器会认为它只是一些很奇怪的<?php ... '?>元素.