php – Markdown(with strip_tags)是否足以阻止XSS攻击?
发布时间:2020-12-13 14:05:30 所属栏目:PHP教程 来源:网络整理
导读:我正在使用一个Web应用程序,允许用户在目录中输入项目的简短描述.我允许在我的文本区域中使用Markdown,因此用户可以执行一些 HTML格式. 我的文本消毒功能将所有标签从任何输入的文本中插入数据库之前将其删除: public function sanitizeText($string,$allow
|
我正在使用一个Web应用程序,允许用户在目录中输入项目的简短描述.我允许在我的文本区域中使用Markdown,因此用户可以执行一些
HTML格式.
我的文本消毒功能将所有标签从任何输入的文本中插入数据库之前将其删除: public function sanitizeText($string,$allowedTags = "") {
$string = strip_tags($string,$allowedTags);
if(get_magic_quotes_gpc()) {
return mysql_real_escape_string(stripslashes($string));
} else {
return mysql_real_escape_string($string);
}
}
基本上,我正在存储在数据库中的是Markdown – 不允许其他的HTML,甚至是“基本的HTML”(像SO这样). 允许降价存在任何安全威胁?即使没有标签,可以使用XSSed
我认为从输入中删除任何HTML标签可以让你的东西更安全 – 除非有人找到一种方法来将一些真正搞乱的数据注入Markdown,使其产生更多的混乱输出^^
不过,这里有两件我想到的事情: 第一个:strip_tags不是一个奇迹功能:它有一些缺陷… $str = "10 appels is <than 12 apples"; var_dump(strip_tags($str)); 我得到的输出是: string '10 appels is ' (length=13) 哪个不太适合你的用户:-( 第二个:有一天或另一天,你可能希望允许一些HTML标签/属性;或者,即使在今天,您也可能想确保Markdown不会生成一些HTML标签/属性. 您可能会喜欢像HTMLPurifier这样的东西:它允许您指定应保留哪些标签和属性,并对字符串进行过滤,以便只保留这些标签和属性. 它还生成有效的HTML代码 – 这总是很好;-) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |