XSS易受攻击,即使我正在使用编码

时间:2017-03-17 13:04:47

标签: html xss html-entities

我有一个输入字段,我使用htmlentities对值进行编码。

$value=htmlentities($value);

db中存储的值为:

"/><script>alert(document.cookie)</script><br class="

但是当我向用户显示上述文本时,会执行警报。我该如何防止这种情况?

1 个答案:

答案 0 :(得分:0)

可能会发生更多事情:

  • 除了“评论”
    • 之外,您还有一些其他代码正在发出警报
    • 查看输出页面并尝试查找,其名称为
  • 您在缓存中有旧页面
    • 清除缓存并重试
  • 使用一些“html entity decode”函数,它将实体转换为实际字符
    • 只是不要使用此功能
相关问题
最新问题