我应该同时使用striptags()和htmlspecialchars()来阻止XSS吗? [英] Should I use both striptags() and htmlspecialchars() to prevent XSS?
本文介绍了我应该同时使用striptags()和htmlspecialchars()来阻止XSS吗?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
这是否取决于输入是否将打印给用户?在我的情况下,我需要将输入返回给用户(评论和生物)。
Does this depend on if the input is going to be printed to the user? In my case I need to return the input back to the user (comments and bio).
谢谢!!!
推荐答案
htmlspecialchars()
是足以阻止XSS。
htmlspecialchars()
is enough to prevent XSS.
剥离标签删除标签,但不删除特殊字符,如或
'
,所以如果您使用 strip_tags()
还必须使用 htmlspecialchars()
。
Strip tags removes tags but not special characters like "
or '
, so if you use strip_tags()
you also have to use htmlspecialchars()
.
如果您希望用户的评论显示就像他们输入的那样,请不要使用strip_tags,只使用htmlspecialchars()。
If you want users' comments to be displayed like they typed them, don't use strip_tags, use htmlspecialchars() only.
这篇关于我应该同时使用striptags()和htmlspecialchars()来阻止XSS吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文