所以我正在构建一个PHP Web应用程序,我需要确保它在XSS和CSRF中是安全的。我看过文章,我知道防止这些攻击的方法。就像使用htmlspecialchars或htmlentites用于XSS一样,对于CSRF,我需要使用随机令牌方法。但是,我不确定何时使用哪个。
我是否创建了一个使用htmlspecialchars的方法并将其包装在我想要打印的用户输入的每个变量中? Web应用程序中的大多数数据都存储在数据库中。我使用预处理语句来做到这一点,但是我还需要清理输入吗?
对于CSRF,有必要在每次刷新或表单提交后生成一个新令牌,或者每个会话一个是否正常。
答案 0 :(得分:2)
在这里,您可以阅读有关XSS和CSRF的更多信息。我用它来正确处理我的脚本。