那些遇到过的问题

htmlspecialchars可以转义javascript吗?

som*_*ing 1 php escaping

我偶然发现了以下问题:

你们知道htmlspecialchars函数是否也从用户输入中转义了JavaScript吗?

谢谢

irc*_*ell 5

好吧,要回答您的问题,取决于情况。如果您正在做:

<p><?php echo htmlspecialchars($userInput); ?></p>
Run Code Online (Sandbox Code Playgroud)

然后他们将无法将脚本注入您的应用程序。

但是

如果您尝试这样做:

<script>
    var foo = '<?php echo htmlspecialchars($userInput); ?>';
</script>
Run Code Online (Sandbox Code Playgroud)

你是不是安全的。请参阅OWASP的XSS备忘单规则3 。

为了保护这一点,您需要使用JS感知的转义功能。如果只需要字符串文字,则可以对其进行json编码,但是我将使用ESAPI for PHP来解决这一问题。

归档时间:

查看次数:

1165 次

最近记录:

13 年,11 月 前
相关归档
使用AJAX表单提交将表单数据传递给PHP而不刷新页面 60
在数据库中存储IP的最佳方法? 49
MySQL错误的原因2014无法在其他未缓冲的查询处于活动状态时执行查询 36
如何为PHP设置env变量? 28
PHP内置服务器和.htaccess mod重写 26
如何将microtime()转换为HH:MM:SS:UU 23
php登录curl代码无法按预期工作 19
安全地转义SQL片段的字符串,以便在Rails上进行连接,限制,选择等(而不是条件) 12
URL为Internet Explorer转义中文/日文Unicode字符 8
字符串文字而不必转义特殊字符? 6
难疑归档
什么是正确的JSON内容类型? 9962
撤消git rebase 2965
如何迭代字符串的单词? 2895
**(双星/星号)和*(星号/星号)对参数有什么作用? 2149
JavaScript切断/切片/修剪字符串中的最后一个字符 1840
如何删除GitHub上的提交? 1619
在Android Studio中重命名包 1252
window.onload vs $(document).ready() 1205
为PHP密码保护哈希和盐 1142
获取Oracle中所有表的列表? 1073