我现在正在进行PHP编码1年。我不知道一切或认为自己专业。但我想写干净的黑客证明编码。我试图研究如何阻止XSS攻击。但似乎有很多表达式和很多漏洞。我尝试了htmlawed和html净化器。但并非我编写的每个简单表单或脚本都需要繁重的脚本才能使其安全。所以我需要的是:我能遵循哪种编码风格使我的编码安全吗?
答案 0 :(得分:1)
基本上,为了避免使用XSS,您必须确保用户不会将HTML注入到页面的HTML输出中。
最简单的方法是在任何以HTML格式传输到浏览器的输出上使用htmlspecialchars()等函数。
这意味着,如果有人输入类似(简单示例)的内容:
<script>alert('plop');</script>
您网页的HTML将包含:
<script>alert('plop');</script>
没有可以解释的HTML / Javascript代码。