我可以使用htmlspecialchars($ email,ENT_QUOTES,'UTF-8')代替filter_sanitize_email()
[英]Can I use htmlspecialchars($email, ENT_QUOTES, 'UTF-8') instead of filter_sanitize_email()
問題描述
我對htmlspecialchars()很有信心,可以如標題中所述清理用戶輸入的數據。 但是,為了清理電子郵件,我仍然可以代替FILTER_SANITIZE_EMAIL()使用它嗎? 如果我已經使用過FILTER_VALIDATE_EMAIL()
3 個解決方案
解決方案1
4 已采納 2013-06-14 13:33:33
在用戶輸入上使用htmlspecialchars是一種防止XSS攻擊的方法,並且是一種在輸出數據時(而不是在保存數據時)安全的方法。
假設用戶提交了以下內容:
<span onclick="alert('evil script')">something that seems normal</span>
您可能希望完全按照用戶提交內容的方式保存內容。 但是,當您顯示它時,應該使用htmlspecialchars (或htmlentities )將一些特殊字符轉換為實體,以防止瀏覽器解釋它們。
在過濾器擴展中的功能之一上使用的FILTER_VALIDATE_EMAIL標志是一種驗證用戶數據的方法,並且這是保存用戶數據之前需要完成的過程。
有關防止xss的更多詳細信息,請參見此處
解決方案2
2 2013-06-14 13:30:17
FILTER_SANITIZE_EMAIL確保字符串是電子郵件地址。
htmlspecialchars使字符串可以安全地插入HTML。
它們是完全不同的事物,在任何情況下都不能相互替代。
解決方案3
0 2013-06-14 13:37:00
Provided I have already used FILTER_VALIDATE_EMAIL
然后,如果您已經驗證了字符串,那么該字符串將如何包含除電子郵件以外的其他任何內容。
如果即使驗證失敗也要輸出給定的電子郵件,則可以,您應該在電子郵件字符串上使用htmlspecialchars()或僅通知它不是有效的電子郵件。
如果已經在使用 FILTER_VALIDATE_EMAIL,FILTER_SANITIZE_EMAIL 是否毫無意義?
[英]Is FILTER_SANITIZE_EMAIL pointless if already using FILTER_VALIDATE_EMAIL?
當使用htmlspecialchars來轉義雙引號時,為什么在使用ENT_SUBSTITUTE時需要ENT_QUOTES?
[英]when using htmlspecialchars to escape double-quotes, why is ENT_QUOTES required when using ENT_SUBSTITUTE?
FILTER_SANITIZE_EMAIL是否足夠,還是還需要mysql_real_escape_string以避免PHP / MySQL中的安全性問題?
[英]Is FILTER_SANITIZE_EMAIL enough or is mysql_real_escape_string also needed to avoid security issues in PHP/MySQL?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
我是否應該使用ENT_QUOTES和htmlspecialchars
htmlspecialchars&ENT_QUOTES不工作?
帶有 ENT_QUOTES 和 UTF-8 的 htmlentities 有什么作用?
如果已經在使用 FILTER_VALIDATE_EMAIL,FILTER_SANITIZE_EMAIL 是否毫無意義?
當使用htmlspecialchars來轉義雙引號時,為什么在使用ENT_SUBSTITUTE時需要ENT_QUOTES?
在數組上應用htmlentities ENT_QUOTES
PHP的ent_quotes例外 <br> 和 <ar>
FILTER_SANITIZE_EMAIL是否足夠,還是還需要mysql_real_escape_string以避免PHP / MySQL中的安全性問題?
PHP換行符br與ENT_QUOTES
如何使用 UTF-8 編碼發送 email?
相關標簽