Php 我应该同时使用striptags（）和htmlspecialchars（）来防止XSS吗？_Php_Javascript_Security_Xss

Php 我应该同时使用striptags（）和htmlspecialchars（）来防止XSS吗？

php javascript security

Php 我应该同时使用striptags（）和htmlspecialchars（）来防止XSS吗？,php,javascript,security,xss,Php,Javascript,Security,Xss,这是否取决于输入是否要打印给用户？在我的例子中，我需要将输入返回给用户（评论和简历）谢谢足以防止XSS 条带标记删除标记，但不删除特殊字符，如“或”，因此如果使用，也必须使用如果你想让用户的评论像他们键入的那样显示出来，不要使用strip_标记，只使用htmlspecialchars（）。我不能代表反对者说话，但你的最后一行似乎完全错了；你应该始终使用htmlspecialchars（当你输出到浏览器时…），除非你希望用户能够执行代码（就像在jsbin中一样）@jeroen你在仅使用htm

这是否取决于输入是否要打印给用户？在我的例子中，我需要将输入返回给用户（评论和简历）

谢谢

足以防止XSS

条带标记删除标记，但不删除特殊字符，如

“

或

”

，因此如果使用，也必须使用

如果你想让用户的评论像他们键入的那样显示出来，不要使用strip_标记，只使用htmlspecialchars（）。

我不能代表反对者说话，但你的最后一行似乎完全错了；你应该始终使用

htmlspecialchars

（当你输出到浏览器时…），除非你希望用户能够执行代码（就像在jsbin中一样）@jeroen你在

仅使用htmlspecialchars（）中漏掉了逗号，

。这意味着如果你想让用户的评论像他们键入的那样显示，不要使用strip_标记；只使用htmlspecialchars。所以显然我的最后一句话有点含糊不清：（我已经编辑过。明白了，我读的内容显然与你的意思不同。无论如何，我同意。你主要关心的应该是清理用户输入，不管你用它做什么……如果你在任何数据库查询中使用输入，你还需要用适当的转义算法转义它。。。