作者phreat (雷)
看板PHP
标题[请益] htmlspecialchars 安全性问题
时间Wed Aug 3 19:40:09 2011
想请问各位前辈们
如果要存留言板的内文 而内文可以使用html
安全性要怎麽防护呢?
目前做法是在存入前使用htmlspecialchars
需要输出在反解回来
因为是html所以很多字串没办法过滤不知道这样会不会有危险
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 124.11.69.188
1F:推 cgcheng:好像有现成的filter php extenstion可以使用 08/03 23:59
3F:→ cgcheng:也可以自己google,keyword: input filter php 08/04 00:01
4F:→ phreat:谢谢Cgcheng 的函数 不过我是需要防sql injection 08/04 21:05
5F:→ phreat:且能够存入资料库後在解回版面,因为不对外不担心有jsc攻击 08/04 21:07
6F:→ phreat:不知道是否用htmlspecialchars就可以达到安全的防止sql in 08/04 21:09
7F:推 cgcheng:我提供的应该有包含injection防止 08/07 04:42
8F:→ cgcheng:不过看起来好像我提供什麽你连测都没测? 08/07 04:42
9F:→ cgcheng:你用了htmlspecialchars还要在解回来本身就是个问题 08/07 04:43
10F:→ cgcheng:光只是防inject还不够,要连XSS一起防吧? 08/07 04:44
11F:→ cgcheng:算了当我什麽都没说吧 08/07 04:44
12F:→ phreat:Cgcheng 抱歉因为我测到这函数 full_special_chars 08/07 13:57
13F:→ phreat:感觉跟htmlspecialchars很类似而且我一直解不回来所以没PO 08/07 14:00
14F:→ phreat:使用心得 目前是用htmlspecialchars 外加自己过滤一些 08/07 14:02
15F:→ phreat:还是很谢谢Cgcheng 不吝赐教 08/07 14:07