可能是重复问题:
如何在PHP网站中避免XSS攻击的最佳实践
我需要在PHP代码中防止XSS攻击,有没有好用且易于使用的库?
5个回答
11
安全不是产品,而是一个过程。
如果你依赖于库来保障安全,那么你注定会在某个时候受到攻击。
无论如何,你可以使用标准的PHP函数(例如htmlspecialchars())对输入进行清理。
- Federico klez Culloca
3
我将这个添加到输入中,它会被打印在页面上,这样做可以防止所有的XSS攻击吗?或者至少能够防止大部分的攻击吗? - newbie
我建议你了解一下跨站脚本攻击(XSS)。你需要理解它的工作原理,以便能够防范它。 - Marius
2@新手 不,你不需要。否则你就不会问这个问题了,这能防止所有的XSS攻击吗? - Your Common Sense
4
有许多 PHP 函数可以帮助您防止 XSS 攻击。看一下这些函数:
strip_tags
http://php.net/manual/zh/function.strip-tags.php
htmlspecialchars
- Finbarr
3
建议从列表中删除 htmlentities 函数,因为该函数已经过时且不够优雅。 - Your Common Sense
PHP中存在如此之多的低劣功能,以至于很难跟上哪些实际可用。 - Finbarr
嗯,什么? htmlentities 还活着,并且通常比 htmlspecialchars 更可取。http://php.net/manual/en/function.htmlentities.php - Kzqai
1
在谷歌上有很多好的答案,我找到的第一个是:http://codeassembly.com/How-to-sanitize-your-php-input/
我的主要建议是将每个输入都视为直接攻击。
因此,将其转换为HTML字符。添加反斜杠。
- azz0r
0
- Ivan
1
PHP:该项目的当前版本不适合生产使用。 - qwertzman
-2
htmlspecialchars()
- Your Common Sense
2
我也注意到了,它阻止了 alert('XSS attack test!'); 的运行,所以它一定在做某些事情。 - newbie
这将使Unicode字符无法阅读(п => п)。 - Artjom Kurapov
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接