脚本宝典收集整理的这篇文章主要介绍了php – Markdown(with strip_tags)是否足以阻止XSS攻击?,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
我的文本消毒功能将所有标签从任何输入的文本中插入数据库之前将其删除:
public function sanITizeText($string,$AllowedTags = "") { $string = strip_tags($string,$allowedTags); if(get_magic_quotes_gpc()) { return MysqL_real_escaPE_string(stripslashes($string)); } else { return MysqL_real_escape_string($string); } }
基本上,我正在存储在数据库中的是Markdown – 不允许其他的HTML,甚至是“基本的HTML”(像SO这样).
允许降价存在任何安全威胁?即使没有标签,可以使用XSSed
不过,这里有两件我想到的事情:
第一个:strip_tags不是一个奇迹功能:它有一些缺陷…
例如,它将在“<”之后剥离所有的东西,在这样的情况下:
$str = "10 appels is <than 12 apples"; var_dump(strip_tags($str));
我得到的输出是:
string '10 appels is ' (length=13)
哪个不太适合你的用户:-(
第二个:有一天或另一天,你可能希望允许一些HTML标签/属性;或者,即使在今天,您也可能想确保Markdown不会生成一些HTML标签/属性.
您可能会喜欢像HTMLPurifier这样的东西:它允许您指定应保留哪些标签和属性,并对字符串进行过滤,以便只保留这些标签和属性.
以上是脚本宝典为你收集整理的php – Markdown(with strip_tags)是否足以阻止XSS攻击?全部内容,希望文章能够帮你解决php – Markdown(with strip_tags)是否足以阻止XSS攻击?所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。