避免双重编码 <INPUT> 使用htmlspecialchars时
[英]Avoiding double encoding in <INPUT> while using htmlspecialchars
问题描述
假设您有一个用户姓名的文本<INPUT> ,他们决定输入
Johnny's Pizza
这保存在DB中
Johnny's Pizza
但是如果用户决定编辑,我将重新填充文本<INPUT> ,如下所示
echo form_input('name', htmlspecialchars($name, ENT_QUOTES, 'UTF-8'));
这将显示为
Johnny's Pizza
在输入字段内。
echo form_input('name', htmlspecialchars($name, ENT_QUOTES, 'UTF-8', FALSE));
也就是说, FALSE指的是$double_encoding ,但我还是得到了
Johnny's Pizza
在输入字段中。
有没有办法绕过这种双重编码? 这是可以在使用ENT_QUOTES修复的东西吗?
使用Codeigniter 2.0.3。
1 个解决方案
解决方案1
2 已采纳 2011-12-03 17:20:49
使用htmlspecialchars是正确的方法,如果将其直接输出到页面中,则不会给出您描述的结果。
据推测, form_input函数希望接收文本而不是HTML,因此它本身运行htmlspecialchars 。 如果是这样,解决方案是只传递文本而不是首先编码HTML的值。
是否存在使用htmlspecialchars而非编码&的安全漏洞?
[英]Is there a security leak using htmlspecialchars and not encoding &?
避免在上使用htmlspecialchars() <img> 在动态内容上,同时避免XSS攻击
[英]Avoiding the use of htmlspecialchars() on <img> on dynamic contents, while avoiding XSS attacks
\\\\ n在输入标记中显示为\\ n -在用户输入上使用htmlspecialchars()
[英]\\n appears as \n in an input tags — using htmlspecialchars() on user input
使用Htmlspecialchars()清理输入后,是否需要清理我的输出
[英]Do need to sanitize my output after sanitizing the input using Htmlspecialchars()
通过放置 HTMLSPECIALCHARS() function 来避免 XSS 漏洞
[英]avoiding XSS vulnerability by putting HTMLSPECIALCHARS() function
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
避免意外的双htmlspecialchars编码?
是否存在使用htmlspecialchars而非编码&的安全漏洞?
避免在上使用htmlspecialchars() <img> 在动态内容上,同时避免XSS攻击
在文本输入的value属性中使用htmlspecialchars
如何在使用htmlspecialchars时使用href
\\\\ n在输入标记中显示为\\ n -在用户输入上使用htmlspecialchars()
使用Htmlspecialchars()清理输入后,是否需要清理我的输出
通过放置 HTMLSPECIALCHARS() function 来避免 XSS 漏洞
htmlspecialchars双重编码没有做的伎俩
在MySQL存储在PHP中之前进行双重编码输入
相关标签