消毒输入但输出不如预期
这是我的一个表单(PHP + MySQL,textarea取代了TinyMCE)。它记录了段落,项目符号,标题和文本对齐(右,左,中和对齐)的描述。
提交后,记录显示为
<p style="text-align: justify;"><strong>Introduction</strong></p>
<p style="text-align: justify;">The death of the pixel leaves you with a flowing, magazine-quality canvas to design for. A canvas where curves are curves, not ugly pixel approximations of curves. A canvas that begins to blur the line between what we consider to be real and what we consider to be virtual.</p>
<p style="text-align: justify;">It wasn't too long ago that there was one set of rules for use of type on print and use of type on screen. Now that we have screens that are essentially print quality, we have to reevaluate these conventions.</p>
<p style="text-align: justify;">Web sites are transforming from boring fields of Arial to embrace the gamut of typographical possibilities offered by web fonts. Web fonts, combined with the style and layout options presented by the creative use of CSS and JavaScript offer a new world of typographic oppor</p>
<ol>
<li style="text-align: justify;">point 1</li>
<li style="text-align: justify;">point 2</li>
<li style="text-align: justify;">point 3</li>
</ol>
我读到您需要清理进入数据库的所有数据以避免 XSS 并开始寻找解决方案。
我找到的解决方案是使用&#34; htmlspecialchars()&#34; (来源:Lynda.com - 创建安全的PHP网站)。
因此,教程说我们需要在保存到数据库之前清理输入并使用类似(示例代码)的内容
<?php
if($_SERVER['REQUEST_METHOD'] === 'POST') {
$category_description = $_POST['category_description'];
echo $category_description;
echo '<br><br>';
echo htmlspecialchars($category_description);
echo '<br><br>';
echo htmlentities($category_description);
echo '<br><br>';
echo strip_tags($category_description);
}
?>
避免 XSS 。
我到达这里。 htmlspecialchars()函数将一些预定义字符转换为HTML实体,htmlentities()将字符转换为HTML实体,strip_tags()完全删除任何标记。
但是在使用htmlspecialchars(),htmlentities()和strip_tags()之后,输出现在呈现为
我相信这是安全的,但从数据库中提取时在首页上看起来并不好。
如何呈现通过htmlspecialchars或htmlentities传递的输入?
3 个答案:
答案 0 :(得分:1)
我的建议是构建一个功能来清理所有文本输入和一个函数来检查来自数据库或任何其他来源的所有输出,如下所示:
<?php
// filter for user input
function filterInput($content)
{
$content = trim($content);
$content = stripslashes($content);
return $content;
}
//filter for viewing data
function filterOutput($content)
{
$content = htmlentities($content, ENT_NOQUOTES);
$content = nl2br($content, false);
return $content;
}
根据您的策略,您可能会为过滤器添加额外功能或删除一些功能。但是你在这里有一个功能就足以保护你免受XSS攻击。
编辑除上述功能外,this answer也可能与您网站的部分保护相关。
参考不同的方法:
- trim:http://php.net/manual/en/function.trim.php
- stripslashes:http://php.net/manual/en/function.stripslashes.php
- htmlentities:http://php.net/manual/en/function.htmlentities.php
- nl2br:http://php.net/manual/en/function.nl2br.php
查看以下链接也是一个好主意:
重要的是,了解十大风险并了解更多信息是很好的。
答案 1 :(得分:0)
我不确定这是否是解决问题的正确方法,但我在php手册中找到了一个函数“htmlspecialchars_decode()”。手册说它与“htmlspecialchars()”完全相反。我试过,效果很好。
html_entity_decode()函数与htmlentities()相反。
答案 2 :(得分:0)
我使用了HTMLPurifier这是一个PHP过滤器库来清理HTML输入。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?