私は、ユーザーが変更できるテキストエリアを持つPHPページを持っており、その値が別のPHPページに保存されて表示されます - これはXSS攻撃(または悪意のあるハッカーが今日使用しているもの) http://htmlpurifier.orgはXSS攻撃を避けるための素晴らしい解決策です。私は、テキストエリアに入力されたPHPコードがブラウザによって無視され、サーバーサイドでは実行されないというSOスレッドを読みます。私はちょうどhtmlpurifierが私のサイトを完全に保護するか、IE6のような古いブラウザがそれほどPHPコードを無視するほどスマートでない可能性があるかどうかを知りたいだけです。ありがとう:)ユーザーがテキストエリアにPHPコードを入力しないようにしますか?
私はアポストロフィとラインの書式設定の問題を回避するためにstripslashesとnl2brを使用しました。私は予期せぬディスプレイの問題を避けるために何かを使用しなければなりませんか?
技術的に、<?は、[処理](http://www.w3.org/TR/html4/appendix/notes.html#hB.3.6)[指示](http://www.w3 .org/TR/xml /#sec-pi)であり、要素ではありません。しかし、それはちょうど無意味なニトを拾うpedantryです:) –
ありがとう、私はそれをチェック:)私はちょうどサーバーがユーザーが書いた ''タグの内部に何を実行しないのだろうと思っている - それはデータベースレコードを読み込み、それを ''にエコーします。私は、PHPファイル内にあったテキストとしてレコードの値を扱い、いつものように実行すると想像しました。これはちょうど不適切な考えであると言っていますか? – tylerl
@tylerl文字列内のPHPコードは実行されません。 PHPの場合、文字列は単なる文字列です。 – alex