作者phreat (雷)
看板PHP
標題[請益] htmlspecialchars 安全性問題
時間Wed Aug 3 19:40:09 2011
想請問各位前輩們
如果要存留言板的內文 而內文可以使用html
安全性要怎麼防護呢?
目前做法是在存入前使用htmlspecialchars
需要輸出在反解回來
因為是html所以很多字串沒辦法過濾不知道這樣會不會有危險
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 124.11.69.188
1F:推 cgcheng:好像有現成的filter php extenstion可以使用 08/03 23:59
3F:→ cgcheng:也可以自己google,keyword: input filter php 08/04 00:01
4F:→ phreat:謝謝Cgcheng 的函數 不過我是需要防sql injection 08/04 21:05
5F:→ phreat:且能夠存入資料庫後在解回版面,因為不對外不擔心有jsc攻擊 08/04 21:07
6F:→ phreat:不知道是否用htmlspecialchars就可以達到安全的防止sql in 08/04 21:09
7F:推 cgcheng:我提供的應該有包含injection防止 08/07 04:42
8F:→ cgcheng:不過看起來好像我提供什麼你連測都沒測? 08/07 04:42
9F:→ cgcheng:你用了htmlspecialchars還要在解回來本身就是個問題 08/07 04:43
10F:→ cgcheng:光只是防inject還不夠,要連XSS一起防吧? 08/07 04:44
11F:→ cgcheng:算了當我什麼都沒說吧 08/07 04:44
12F:→ phreat:Cgcheng 抱歉因為我測到這函數 full_special_chars 08/07 13:57
13F:→ phreat:感覺跟htmlspecialchars很類似而且我一直解不回來所以沒PO 08/07 14:00
14F:→ phreat:使用心得 目前是用htmlspecialchars 外加自己過濾一些 08/07 14:02
15F:→ phreat:還是很謝謝Cgcheng 不吝賜教 08/07 14:07