我不确定如何使用htmlPurifier,我不想让系统慢下来。我想要删除所有内容,这样当我以后回显出用户发布的数据时,我的网站就不会被XSS注入感染。此外,我稍后使用bind_param()来防止SQL注入。
我应该像这样使用htmlPurifier:
$name = $_POST['name'];
$comment = $_POST['comment'];
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_name = $purifier->purify($name);
$clean_comment = $purifier->purify($comment);
或者我应该这样使用它:
$dirty_html = array('name' => $_POST['name'], 'comment' => $_POST['comment']);
$config = HTMLPurifier_Config::createDefault();
$purifier = new HTMLPurifier($config);
$clean_html = $purifier->purify($dirty_html);
两者都能快速运作吗?主要目标是从XSS清理,它应该只被遗漏为纯文本,以便我以后可以回显数据。
答案 0 :(得分:0)
只有第一个代码段才有效。即使第二个片段有效,它也不会有任何性能差异。