Php 对于XSS保护，在填充以进行编辑之前是否需要转义_Php_Security_Forms_Xss

Php 对于XSS保护，在填充以进行编辑之前是否需要转义

php security forms

Php 对于XSS保护，在填充以进行编辑之前是否需要转义,php,security,forms,xss,Php,Security,Forms,Xss,我正在测试一个受感染的文本在显示模式下，我从数据库获取数据并将其显示在页面上，然后按预期获取XSS 在编辑模式下，我使用与初始输入相同的表单，将数据库中的值填充到输入字段中（本例中为textarea），但我没有得到XSS。这正常吗？表单字段数据是否不受XSS影响，因为文本显示在表单字段内？所以我不需要在正常显示中使用XSS保护顺便说一下，我正在测试的特定XSS是这样的。我从XSS的备忘单上得到的，第一个 ';alert(String.fromCharCode(88,83,83))//";al

我正在测试一个受感染的文本

在显示模式下，我从数据库获取数据并将其显示在页面上，然后按预期获取XSS

在编辑模式下，我使用与初始输入相同的表单，将数据库中的值填充到输入字段中（本例中为textarea），但我没有得到XSS。这正常吗？表单字段数据是否不受XSS影响，因为文本显示在表单字段内？所以我不需要在正常显示中使用XSS保护

顺便说一下，我正在测试的特定XSS是这样的。我从XSS的备忘单上得到的，第一个

';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//\";alert(String.fromCharCode(88,83,83))//--></SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

”；警报（String.fromCharCode（88,83,83））/“警报（String.fromCharCode（88,83,83））/\”；警报（String.fromCharCode（88,83,83））/-->“>'>警报（String.fromCharCode（88,83,83））

否，表单字段对于XSS是可疑的，因此您也需要将其转义
模板示例：

<input type="text" name="foo" value="{$value}" />

价值样本：

" /><script>alert(123);</script><input attr="

“/>警报（123）不，表单字段对于XSS是可疑的，因此您也需要对其进行转义模板示例： <input type="text" name="foo" value="{$value}" /> 价值样本： " /><script>alert(123);</script><input attr=" “/>警报（123）；示例 </TEXTAREA><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT> 警报（String.fromCharCode（88,83,83））举个例子 </TEXTAREA><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT> 警报（String.fromCharCode（88,83,83））也要注意输出编码-一些编辑器可能会将不受信任的数据放入JavaScript，这需要与HTML不同的转义语法。也要注意输出编码-一些编辑器可能会将不受信任的数据放入JavaScript，这需要与HTML不同的转义语法。