我使用HTMLPurifier防止xss攻击。
我注意到HTMLPurifier没有清除以下代码段
1" onmouseover=prompt(917593) bad="
当我使用 htmlspecialchars($ value,ENT_QUOTES,'UTF-8'); 问题已解决。脚本不起作用。 但是我不能在所有地方都使用htmlspecialchars,因为我使用了texteditor。 用户输入的内容是html base,如果我使用htmlspecialchars,则所有内容都是分散的。
我必须在获取参数时进行清理,我无法使用htmlspecialchars进行输出。
我该怎么办?