这段代码是否安全,可以防止XSS攻击?
<?php
$string = "<b>hello world!</b>";
echo "without filtering:".$string;
echo "<br>";
$filtered = htmlspecialchars($string); // insert into database filtered
echo "After filtering:".$filtered;
echo "<br>";
$de_filtering = htmlspecialchars_decode($filtered); //retrieve from database and display
echo "After de-filtering:".$de_filtering;
?>
在插入数据库时,不应该对HTML-Specialchars进行编码,这样数据会被篡改(可能与编辑数据集时不同)。相反,在显示数据时应该进行编码。
但是,只要你不忘记使用htmlspecialchars(),它就足以防止XSS攻击。然而,你使用它的方式和以前一样安全。XSS攻击是通过编码版本来预防的,数据库并不关心它。
htmlspecialchars() 的方式并不能防止跨站脚本攻击。 - Pekka不,XSS与数据库无关。为了避免SQL注入,您需要使用诸如mysql_real_escape_string或准备语句等方式进行转义,但为了避免XSS,您需要在输出到HTML时进行转义。
还有一些需要注意的地方。请参考OWASP XSS prevention cheat sheet。它解释了如何在不同的上下文中进行转义。
如果要在标签之间输出不受信任的数据,则htmlspecialchars/htmlentities将保护您,但如果您要在例如JavaScript事件处理程序中输出它,则不会保护您:
<button onclick="confirm('do you want to delete <?php echo htmlspecialhars($untrusted_data) ?>')">
不对 - 你在将数据放入数据库之前进行了过滤(这是不必要的),但在输出数据时取消了过滤。
将数据存储在未经过滤的数据库中,并在输出时进行转义:
echo htmlspecialchars($unfiltered_data_from_database);
mysql_real_escape_string 进行转义。 - gen_Eric
htmlspecialchars,而是使用你所用数据库的转义方法(例如mysql_real_escape_string)。 - gen_Eric