Php 同时拥有mod_安全性和htmlpurifier是一种过度杀伤力吗？

早些时候，我们已经将htmlpurifier集成到基于LAMP的产品中，但速度有点慢。最近，我们开启了mod_安全。这两个都是OWASP项目的一部分，OWASP在我上次检查时在内部使用了htmlpurifer，所以我认为安全性是多余的

---

你有什么建议？关闭HTM净化器是可行的选择吗？谢谢你的回答。

他们都做不同的事情。这是一个黑名单。它涵盖了一些通用漏洞，其中包括XSS、SQL注入、目录遍历、url注入等，以及过去的应用程序错误，但可能更容易用更复杂的编码和特定于应用程序的方法来规避过滤器。它通常只是探测一些URL参数

---

实际上只涉及HTML清理，但它做得相当好。它是一个白名单过滤器，因此根据定义更安全。当然慢了。这就是为什么您应该只将其应用于传入的数据，而不是作为所有内容和任何地方的通用过滤器。如果它减慢了应用程序的速度，则可能是在错误的位置使用它。

它们都做不同的事情。这是一个黑名单。它涵盖了一些通用漏洞，其中包括XSS、SQL注入、目录遍历、url注入等，以及过去的应用程序错误，但可能更容易用更复杂的编码和特定于应用程序的方法来规避过滤器。它通常只是探测一些URL参数

---

实际上只涉及HTML清理，但它做得相当好。它是一个白名单过滤器，因此根据定义更安全。当然慢了。这就是为什么您应该只将其应用于传入的数据，而不是作为所有内容和任何地方的通用过滤器。如果它减慢了应用程序的速度，则可能是在错误的位置使用它。

谢谢您的回答。所以你的意思是，由于mod_安全性是基于正则表达式的，所以它比基于令牌的htmlpurifier更容易破解？那么，如果我们选择删除mod_安全性并保留htmlpurifier，这有什么关系呢？再次感谢。我不会禁用它。它给我个人带来了很多误报的麻烦，但它是一个针对垃圾邮件和xss尝试的更快的防火墙。我不会完全依赖它，但它会减少应用程序检查，从而减少日志条目。这确实会导致服务器速度下降，但我认为这还不够明显。所以，除非你有一个并发用户太多的大型网站，否则请保持启用状态。谢谢你的回答。所以你的意思是，由于mod_安全性是基于正则表达式的，所以它比基于令牌的htmlpurifier更容易破解？那么，如果我们选择删除mod_安全性并保留htmlpurifier，这有什么关系呢？再次感谢。我不会禁用它。它给我个人带来了很多误报的麻烦，但它是一个针对垃圾邮件和xss尝试的更快的防火墙。我不会完全依赖它，但它会减少应用程序检查，从而减少日志条目。这确实会导致服务器速度下降，但我认为这还不够明显。所以，除非你有一个有太多并发用户的大型站点，否则请保持启用状态。