输出用户输入 - 防止xss
问题描述:
我有一个管理部分在我的网站内可以存储项目。一旦存储,它们就会显示在前端。我的显示器的一部分涉及如下面的代码:输出用户输入 - 防止xss
echo "<p>".$rose['description']."</p>";
这是否需要拥有的htmlspecialchars纳入它从XSS处于低水平保护?
答
是的,当然,在输出回来以防止XSS攻击之前,您总是应该清洁用户输入。记住你应该在输出之前清理用户输入,而不是在将其保存到分贝之前清理用户输入,因为你并不总是需要输出html
+0
(但适当的消毒不总是'htmlspecialchars',具体取决于输出上下文。) – DCoder 2012-04-13 08:32:52
+0
@DCoder当然是:) – 2012-04-13 08:33:33
+0
你测试过了吗?你至少可以测试''in'$ row ['description']'看看它是否提醒? – 2012-04-13 08:11:20