function xap ($in, $format=false) {
if ($format == 'html') {
//Делаем безопасный html
$in = preg_replace('/(<(link|script|iframe|object|applet|embed).*?>[^<]*(<\/(link|script|iframe|object|applet|embed).*?>)?)/i', '', $in); //Удаляем стили, скрипты, фреймы и flash
$in = preg_replace('/(script:)|(expression\()/i', '\\1 ', $in); //Обезвреживаем скрипты, что остались
$in = preg_replace('/(onblur|onchange|onclick|ondblclick|onfocus|onkeydown|onkeypress|onkeyup|onload|onmousedown|onmousemove|onmouseout|onmouseover|onmouseup|onreset|onselect|onsubmit|onunload)=?/i', '', $in);
$in = preg_replace('/((src|href).*?=.*?)(http:\/\/)/i', '\\1redirect/\\2', $in);
return $in;
} else {
return htmlentities($in);
}
}
echo xap($text); //for read
echo xap($text, "html"); //for read html tags
作者说这是保护XSS的理想代码......是真的吗?
答案 0 :(得分:0)
htmlspecialchars($str, ENT_QUOTES, 'UTF-8');
应该足够安全
答案 1 :(得分:0)
你忘记了错误。 =&GT;
<img src="http://idontexists.neke/notexists.jpg" onerror="alert(document.cookie)" />