那些遇到过的问题

我应该同时使用striptags()和htmlspecialchars()来阻止XSS吗?

KRB*_*KRB 8 javascript php security xss

这取决于输入是否将打印给用户?在我的情况下,我需要将输入返回给用户(评论和生物).

谢谢!!!

Arn*_*anc 21

htmlspecialchars() 足以阻止XSS.

地带标签删除标签,但不是特殊字符,如"',所以如果你使用strip_tags(),你也可以选择使用htmlspecialchars().

如果您希望用户的注释显示为类型,请不要使用strip_tags,仅使用htmlspecialchars().

  • 我不能代表贬低者,但你的最后一句话似乎完全错了; 您应该始终使用`htmlspecialchars`(当您输出到浏览器时...)**除了**,当您希望用户能够执行代码时(例如在jsbin中) (2认同)

归档时间:

查看次数:

9577 次

最近记录:

14 年,4 月 前
相关归档
jQuery AJAX跨域 468
Jquery在某个索引处将新行插入表中 109
使用JS .call()方法的原因是什么? 58
使用Firebase的数据库样式查询 46
如何将数组键更改为从1而不是0开始 34
没有页面刷新的表单提交 33
scandir()按修改日期排序 21
如何将API网关与微服务和JWT结合使用? 19
Spring Security,Method Security annotation(@Secured)无效(java config) 17
除了<script>标签之外,我应该删除哪些内容以确保用户输入的HTML是安全的? 2
难疑归档
C++中指针变量和引用变量之间有什么区别? 3115
使用JavaScript获取当前网址? 2882
在Git中只提交文件的一部分 2629
在JavaScript中创建多行字符串 2412
运算符重载的基本规则和习惯用法是什么? 2074
如何按字典值对字典列表进行排序? 1722
如何生成随机字母数字字符串? 1679
lodash和下划线之间的差异 1566
Git如何处理符号链接? 1515
如何在Git中仅提交区分大小写的文件名更改? 1157