堆棧內存溢出
  簡體   English   中英

使用htmlspecialchars作為輸入然后在輸出中使用htmlentities是否多余?

[英]Is it redundant to use htmlspecialchars for input then use htmlentities on output?

 原文  2015-11-30 20:21:08       php/ xss

問題描述

有人告訴我,我的數據庫輸出是根據' " <等輸出進行兩次轉義的' " < ' " <

因此,是將htmlspecialchars($content_to_escape, ENT_QUOTES)插入,然后echo htmlentities($content_to_echo); 多余?

1 個解決方案

解決方案1
 1  2015-12-02 08:56:46

將輸入存儲在給定的數據庫內部。

(可選)您可以驗證輸入服務器端以禁止某些字符。 例如,對於街道名稱,您可能只允許使用字母數字和-<space>'字符。

但是,為防止XSS,應將重點放在輸出編碼上。 每次輸出時都使用HTML編碼功能。 當您需要輸出到另一個上下文(例如,用於JavaScript的十六進制實體編碼,JSON編碼等)時,將原始輸入存儲在數據庫中會使事情變得更加簡單(從而更加安全)。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 htmlentities或htmlspecialchars或stripslashes? 哪一個使用? htmlspecialchars()的使用 htmlentities 和 htmlspecialchars……如何在使用 echo 時始終使用它們? 例如覆蓋回聲功能? PHP htmlentities或htmlspecialchars htmlspecialchars + htmlentities不起作用 htmlentities,htmlspecialchars和ajax問題 PHP htmlspecialchars() 或 htmlentities() 例外 htmlspecialchars()或htmlentities()不起作用 使用htmlspecialchars / htmlentities重定向 htmlentities()與htmlspecialchars()
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM