我如何以及如何使用它?这真的是我需要阻止XSS攻击吗?有人可以解释htmlspecialchars,mysql_real_escape_string,htmlpurifier和其他形式的注射防御之间的区别。 HTMLPurifier是否能抵御JS攻击?
答案 0 :(得分:6)
在典型的用例中,不想要允许任何HTML。在这种情况下,您可以剥离标记等,但这样做不会保护您免受XSS(或SQL注入等)。
如果您不想要HTML,则可以使用htmlspecialchars等来转义输出以防止XSS。在这种情况下,您还将使用SQL转义来阻止SQL注入。
通常更容易删除所有标记并始终使用htmlspecialchars。
当你绝对必须允许HTML时,这就是HTMLPurifier的用途。