在插入数据库而不是输出数据之前转义HTML是个坏主意？

发布时间：2020-12-12 16:16:09 所属栏目：MsSql教程来源：网络整理

导读：我一直在使用不允许HTML格式化的系统.我目前使用的方法是在HTML实体插入数据库之前转义.我被告知我应该将原始文本插入到数据库中,并在输出中转义HTML实体. 其他类似的问题在这里我已经看到像HTML仍然可以用于格式化的情况,所以我要求一个HTML不会被使用的情况

我一直在使用不允许HTML格式化的系统.我目前使用的方法是在HTML实体插入数据库之前转义.我被告知我应该将原始文本插入到数据库中,并在输出中转义HTML实体.

其他类似的问题在这里我已经看到像HTML仍然可以用于格式化的情况,所以我要求一个HTML不会被使用的情况.

在插入数据库之前执行转义时,您还将限制自己.假设您决定不使用HTML作为输出,而是使用JSON,明文等.

如果您在数据库中存储了转义的html,那么您首先必须’unescape’存储在数据库中的值,才能再次将其重新转换为不同的格式.

也看到这个完美的owasp article on xss prevention

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!