php-确保纯文本的最安全方法
阻止用户向字段添加html或javascript的最安全方法是什么。我正在添加一个youtube风格的“描述”,用户可以在这里解释他们的工作,但除了纯文本之外,我不想要任何其他内容,最好不要像“”这样的HTML垃圾 我可以这样做吗:php-确保纯文本的最安全方法,php,security,Php,Security,阻止用户向字段添加html或javascript的最安全方法是什么。我正在添加一个youtube风格的“描述”,用户可以在这里解释他们的工作,但除了纯文本之外,我不想要任何其他内容,最好不要像“”这样的HTML垃圾 我可以这样做吗: $clean = htmlentities($_POST['description']); if ($clean != $_POST['description']) ... then return the form with an error? 你看过吗?你看过
$clean = htmlentities($_POST['description']);
if ($clean != $_POST['description']) ... then return the form with an error?
strip\u tags()htmlentities()方法也可以。使用
strip\u tags()htmlentities()方法还可以。如果在mysql中存储数据,也不要忘记mysql\u real\u escape\u string()。如果在mysql中存储数据,也不要忘记mysql\u real\u escape\u string()。
htmlspecialchars()。当输出转义了所有HTML特殊字符时,无法注入任何HTML或JavaScript。如果使用strip\u标记
,您将阻止用户使用完全合法的字符。htmlspecialchars()
,如果使用得当(请参阅注释),是确保纯文本的最安全的方法。当输出转义了所有HTML特殊字符时,无法注入任何HTML或JavaScript。如果您使用strip\u标签
,您将阻止您的用户使用完全合法的字符。您在同一分钟内回答了所有问题,但根据“最老”的说法,您是第一个。但谢谢你们的回答。你们都在同一分钟内回答了,但根据“最年长的”说法,你们是第一个。但是谢谢大家的回答。@Ignas-这是错误的,使用htmlspecialchars()而不指定字符编码,使用UTF-7的XSS攻击是可能的。那么,这是否也意味着strip_tags
也容易受到攻击呢?但无论如何,谢谢。我已经更正了我的答案。@Ignas-我真的不知道strip_tags()是否易受攻击,也不知道它是否将编码作为参数。我必须解决这个问题:)@Ignas-这是错误的,在没有指定字符编码的情况下使用htmlspecialchars(),使用UTF-7的XSS攻击是可能的。那么,这是否也意味着strip_tags
也容易受到攻击呢?但无论如何,谢谢。我已经更正了我的答案。@Ignas-我真的不知道strip_tags()是否易受攻击,也不知道它是否将编码作为参数。我将不得不绕过这个:)