php – 防止XSS攻击

发布时间：2020-12-13 22:03:09 所属栏目：PHP教程来源：网络整理

导读：这段代码是否安全可以防止XSS攻击？ ?php $string = "bhello world!/b"; echo "without filtering:".$string; echo "br"; $filtered = htmlspecialchars($string); // insert into database filtered echo "After filtering:".$filtered; echo "br"; $de_fil

这段代码是否安全可以防止XSS攻击？

<?php
   $string = "<b>hello world!</b>";
   echo "without filtering:".$string;
   echo "<br>";
   $filtered = htmlspecialchars($string); // insert into database filtered
   echo "After filtering:".$filtered;
   echo "<br>";
   $de_filtering = htmlspecialchars_decode($filtered); //retrieve from database and display
   echo "After de-filtering:".$de_filtering;        
  ?>

解决方法

在插入数据库时??,不应对HTML-Specialchars进行编码,这样就可以操纵数据(编辑数据集时可能会有所不同).你应该在显示时对它们进行编码.

但是,只要您不忘记使用它,htmlspecialchars()就足以阻止XSS.然而,您使用它的方式与以前一样安全.通过编码版本阻止XSS,数据库不关心它.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!