标签: php html input xss whitelist
白名单涉及输入以防止html和xss注入?
从我收集的preg_replace与正则表达式是一个良好的开端。还有什么?
答案 0 :(得分:0)
清理输出比输入更容易。每次数据从一个上下文传递到下一个上下文时,应用正确的转义。例如,在将数据传递给数据库时应用mysqli_real_escape_string(如果使用的是MySQLi扩展),在以HTML格式输出数据时应用htmlspecialchars等等。