8
これは入力がユーザーに印刷されるかどうかによって異なりますか?私の場合、私は入力をユーザーに返す必要があります(コメントとバイオ)。XSSを防ぐためにstriptags()とhtmlspecialchars()の両方を使用する必要がありますか?
ありがとうございました!
A
答えて
18
htmlspecialchars()は、XSSを防止するのに十分です。
ストリップタグは、"または'のような特殊文字は削除しないので、strip_tags()を使用する場合は、htmlspecialchars()も使用する必要があります。
ユーザーのコメントが入力されたように表示されるようにするには、strip_tagsを使用しないでください.htmlspecialchars()のみを使用してください。
+0
downvoter彼がなぜ落選したのか説明してください。 – arnaud576875
+1
私はdownvotersのために話すことができませんが、あなたの最後の行は完全に間違っているようです。あなたは 'htmlspecialchars'を常に使用するべきです(ブラウザに出力するとき)**ユーザがコードを実行できるようにする場合は**を除いて** – jeroen
+0
@jeroen' Use htmlspecialchars( )のみ、 '。つまり、ユーザーのコメントを入力したように表示するには、strip_tagsを使用しないでください。 htmlspecialcharsのみを使用してください。 – arnaud576875
関連する問題
- 1. XSSを防ぐためにc:outを使用する代わりに
- 2. デベロッパーがアプリケーションのクラッシュを防ぐためにフェイルセーフを作成する必要がありますか?
- 3. XSSを防ぐためにHTMLエンティティをエスケープする
- 4. htmlとxmlの両方を含める必要がありますか?
- 5. ASP.NET MVCでAnti-XSSセキュリティランタイムエンジンを使用する必要がありますか?
- 6. A PHPのSQLインジェクションを防ぐための機能とXSS
- 7. Jquery Href - MacとPCの両方で使用する必要があります
- 8. クロスサイトスクリプティング(XSS):アンパサンドをエスケープする必要がありますか?
- 9. Java XmX = Linux OOMを防ぐために設定する必要があります
- 10. XSS攻撃を防ぐ
- 11. XSS攻撃を防ぐ方法tomcat 5.5
- 12. CSSキャッシングを防ぐためにgulpを使用してindex.thmlを変更する方法はありますか?
- 13. CSRF攻撃を防ぐために、HTTPリファラー検証またはトークン検証を使用する必要がありますか?
- 14. FileReaderとBufferedReaderの両方をclose()する必要がありますか?
- 15. CRM OrganizationServiceProxyとOrganizationServiceContextの両方を処分する必要がありますか?
- 16. JSF 2.0;エスケープ= "偽" XSSを防ぐための代替?
- 17. KnockoutJS、SilverLight、またはその両方を使用する必要がありますか?
- 18. ON DELETE CASCADE、:dependent =>:destroy、またはその両方を使用する必要がありますか?
- 19. 助けhtmlの注射を防ぐために必要な
- 20. 無限のWebフォームのポップアップを防ぐためにセッション変数を使用する必要がありますか?
- 21. クライアントとサーバーの両方でMVCを使用する必要がありますか?
- 22. iOSとAndroidアプリの両方で同じパッケージ名を使用する必要がありますか?
- 23. WYSIWYGエディタからHTMLをレンダリングする必要がある場合のXSS攻撃を防止する方法は?
- 24. MouseAdapterとKeyAdapterの両方を '拡張する'必要があります
- 25. RESTful API(JSONとXMLの両方)を開発する必要があります
- 26. ボタンとリンクの両方を2回クリックする必要があります
- 27. InitCommonControlsEx()とInitCommonControls()を使用する必要がありますか?
- 28. Google Places APIで重複を防ぐ必要はありますか?
- 29. SafariとChromeの両方でウェブページをテストする必要はありますか?
- 30. 重複を防ぐ方法がありますか?
あなたの主な関心事は、あなたが何をしているかにかかわらず、ユーザーの入力を消毒する必要があります...任意のデータベースクエリで入力を使用している場合、適切なエスケープアルゴリズムでエスケープする必要があります... –