我什至需要`htmlspecialchars()`作为textarea的值吗 [英] do I even need `htmlspecialchars()` for textarea's value

问题描述

我有staff.php页面，其中包含员工的姓名、职位和详细信息.当用户需要编辑员工信息时，他们将被发送到edit.php页面.edit.php 页面在 text field 上显示名称和标题，在 textarea

I have staff.php page which contains staff's name,position and detail.When user would need to edit staff info,they would be send to edit.php page.edit.php page show name and title on text field and detail on a textarea

我的问题是，我什至需要 edit.php 页面中的 htmlspecialchars.我没有向用户页面打印任何内容，仅在该字段上打印.但我是在打印给用户之前，在 staff.php 上使用 htmlspecialchars.

My question is,do I even need htmlspecialchars in edit.php page.I am not printing anything to users page,only on that fields.But I'm using htmlspecialchars on staff.php before printing to user.

是否仍然对XSS Attack开放?

代码

部分来自 staff.php

$staff.="<div id='sob'>".htmlspecialchars($title)."<br>".htmlspecialchars($sub_title)."<div><a href='edit.php?pid=".htmlspecialchars($pro_id)."'><input type='submit' id='editx' name='editx' value='Edit'></a></div><div id=''><br>".htmlspecialchars($detail)."</div><hr id='h'></div>";

部分来自 edit.php

if(isset($_GET["pid"])){
  $name4=$title;            //
  $sub_title4=$sub_title;   //using prepared statement  
  $detail4=$detail;         //
  }

  HTML part at edit.php

 <input type='text' id='staff_name' name='staff_name' value="<?php echo $name4;?>" required>
 </br><input type='text' id='staff_pos' name='staff_pos' value="<?php echo $sub_title4;?>" required>
 </br><textarea id='staff_detail' name='staff_detail' cols='30' rows='6'  required><?php echo $detail4;?></textarea></br>

推荐答案

当变量要显示在屏幕上时，对 XSS 的保护不仅仅是必要的；每当使用用户生成的值构建 HTML 标记时，无论上下文如何，都需要它.

Protection against XSS isn't just necessary when variables are to be displayed on the screen; it is needed whenever user-generated values are used to build HTML markup, whatever the context.

必须对放置在 </code> 中的 PHP 变量调用 <code>htmlspecialchars()</code>.考虑以下几点:<em class="showen"></em></p> <p class="en">It <em>is</em> necessary to call <code>htmlspecialchars()</code> on a PHP variable placed inside a <code><textarea></code>. Consider the following:</p> <pre><code><code><?php // Unsafe text in the variable $detail4 = '</textarea><script>alert("XSS!");</script>'; ?> <textarea><?php echo $detail4; ?></textarea> </code></code></pre> <p class="cn">这会导致一个关闭的 <code></textarea></code> 后跟一个不安全的注入脚本(以及另一个关闭的 <code></textarea></code> 浏览器可能会忽略).<em class="showen"></em></p> <p class="en">This results in a closed <code></textarea></code> followed by an unsafe injected script (and another closing <code></textarea></code> the browser will probably ignore).</p> <p class="cn">还需要对放置在<code>value=""</code>属性中的变量调用<code>htmlspecialchars()</code>，选择合适的常量以确保变量中的内部引号正确编码以防止属性过早以引号结束.如果您一直在属性上使用双引号，您可以接受默认的 <code>ENT_COMPAT</code>，但如果您有时用单引号引用属性，请使用 <code>ENT_QUOTE</code>.<em class="showen"></em></p> <p class="en">It is also necessary to call <code>htmlspecialchars()</code> on the variables placed into <code>value=""</code> attributes, choosing the appropriate constant to ensure internal quotes in the variables are correctly encoded to prevent the attribute being prematurely ended with a quote. If you consistently use double quotes on the attributes, you can accept the default of <code>ENT_COMPAT</code>, but if you sometimes quote attributes with single quotes, use <code>ENT_QUOTE</code>.</p> <pre><code><code><input type='text' name='staff_pos' value="<?php echo htmlspecialchars($sub_title4, ENT_QUOTES);?>" ...> </code></code></pre> <p>这篇关于我什至需要`htmlspecialchars()`作为textarea的值吗的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！</p> </div> <div class="arc-body-main-more"> <span onclick="unlockarc('2506118');">查看全文</span> </div> </div> <div> </div> <div class="wwads-cn wwads-horizontal" data-id="166" style="max-width:100%;border: 4px solid #666;"></div> </div> </article> <div id="arc-ad-2" class="mb-1"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-5038752844014834" crossorigin="anonymous"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-5038752844014834" data-ad-slot="3921941283"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> <div class="widget bgwhite radius-1 mb-1 shadow widget-rel"> <h5>相关文章</h5> <ul> <li> <a target="_blank" title="如果我使用 Mockito，我什至需要 Guice 吗?" href="/2787724.html"> 如果我使用 Mockito，我什至需要 Guice 吗?; </a> </li> <li> <a target="_blank" title="如果我已经在使用Modernizr，那么我什至需要HTML5 Shiv吗?" href="/2270896.html"> 如果我已经在使用Modernizr，那么我什至需要HTML5 Shiv吗?; </a> </li> <li> <a target="_blank" title="您如何指定DynamoDb的冲突解决策略？ （我什至需要吗？）" href="/1785871.html"> 您如何指定DynamoDb的冲突解决策略？ （我什至需要吗？）; </a> </li> <li> <a target="_blank" title="是所有输出上需要htmlspecialchars（）吗？" href="/527229.html"> 是所有输出上需要htmlspecialchars（）吗？; </a> </li> <li> <a target="_blank" title="addEventListener 调用该函数，我什至没有要求它" href="/2869817.html"> addEventListener 调用该函数，我什至没有要求它; </a> </li> <li> <a target="_blank" title="您如何锁定 SQL Server 2005 中的表，我什至应该这样做吗?" href="/2446727.html"> 您如何锁定 SQL Server 2005 中的表，我什至应该这样做吗?; </a> </li> <li> <a target="_blank" title="如何在SQL Server中删除表变量?我什至应该这样做吗?" href="/1844852.html"> 如何在SQL Server中删除表变量?我什至应该这样做吗?; </a> </li> <li> <a target="_blank" title="为什么我什至不能将返回值从DLL C传递给C#?有帮助吗?" href="/1420703.html"> 为什么我什至不能将返回值从DLL C传递给C#?有帮助吗?; </a> </li> <li> <a target="_blank" title="为什么我什至应该考虑在C ++中使用结构？" href="/1997547.html"> 为什么我什至应该考虑在C ++中使用结构？; </a> </li> <li> <a target="_blank" title="找不到新的遗物类...我什至不使用新的遗物" href="/1679175.html"> 找不到新的遗物类...我什至不使用新的遗物; </a> </li> <li> <a target="_blank" title="为什么会出现此错误，我什至还没有开始编码" href="/2561611.html"> 为什么会出现此错误，我什至还没有开始编码; </a> </li> <li> <a target="_blank" title="为什么会出现此错误，我什至还没有开始编码" href="/2561552.html"> 为什么会出现此错误，我什至还没有开始编码; </a> </li> <li> <a target="_blank" title="我应该同时使用striptags（）和htmlspecialchars（）来阻止XSS吗？" href="/1010286.html"> 我应该同时使用striptags（）和htmlspecialchars（）来阻止XSS吗？; </a> </li> <li> <a target="_blank" title="我如何设置textarea滚动条到底部作为默认值？" href="/565441.html"> 我如何设置textarea滚动条到底部作为默认值？; </a> </li> <li> <a target="_blank" title="htmlspecialchars删除数组内的值?" href="/1847503.html"> htmlspecialchars删除数组内的值?; </a> </li> <li> <a target="_blank" title="巴什数组作为屏幕内的说法" href="/243298.html"> 巴什数组作为屏幕内的说法; </a> </li> <li> <a target="_blank" title="从multiprocessing.Queue获得近LIFO行为的干净方法吗? (或什至只是*不是*近FIFO)" href="/1650870.html"> 从multiprocessing.Queue获得近LIFO行为的干净方法吗? (或什至只是*不是*近FIFO); </a> </li> <li> <a target="_blank" title="在Java中，如何在TextArea中使用多线程?我需要同步我的线程吗?" href="/1655337.html"> 在Java中，如何在TextArea中使用多线程?我需要同步我的线程吗?; </a> </li> <li> <a target="_blank" title="我应该同时使用htmlspecialchars和mysql_real_escape_string吗" href="/1345564.html"> 我应该同时使用htmlspecialchars和mysql_real_escape_string吗; </a> </li> <li> <a target="_blank" title="我可以为textarea调整大小的grabber吗？" href="/564167.html"> 我可以为textarea调整大小的grabber吗？; </a> </li> <li> <a target="_blank" title="我需要将工作表作为ByRef或ByVal传递吗?" href="/2068856.html"> 我需要将工作表作为ByRef或ByVal传递吗?; </a> </li> <li> <a target="_blank" title="我如何检索textarea的当前值？" href="/872835.html"> 我如何检索textarea的当前值？; </a> </li> <li> <a target="_blank" title="带有值的 React textarea 是只读的，但需要更新" href="/2370953.html"> 带有值的 React textarea 是只读的，但需要更新; </a> </li> <li> <a target="_blank" title="我需要为以下文本框和textarea提供相同的样式。有可能吗？" href="/1136689.html"> 我需要为以下文本框和textarea提供相同的样式。有可能吗？; </a> </li> <li> <a target="_blank" title="我需要 virtualenv 吗?" href="/2468270.html"> 我需要 virtualenv 吗?; </a> </li> </ul> </div> <div class="mb-1"> <script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js?client=ca-pub-5038752844014834" crossorigin="anonymous"></script> <ins class="adsbygoogle" style="display:block" data-ad-format="autorelaxed" data-ad-client="ca-pub-5038752844014834" data-ad-slot="3921941283"></ins> <script> (adsbygoogle = window.adsbygoogle || []).push({}); </script> </div> </div> <div class="side"> <div class="widget widget-side bgwhite mb-1 shadow"> <h5>PHP最新文章</h5> <ul> <li> <a target="_blank" title="请求头字段Access-Control-Allow-Headers在预检响应中不允许Access-Control-Allow-Headers" href="/558143.html"> 请求头字段Access-Control-Allow-Headers在预检响应中不允许Access-Control-Allow-Headers; </a> </li> <li> <a target="_blank" title="路由问题导致Symfony \ Component \ HttpKernel \ Exception \ NotFoundHttpException错误" href="/548154.html"> 路由问题导致Symfony \ Component \ HttpKernel \ Exception \ NotFoundHttpException错误; </a> </li> <li> <a target="_blank" title="什么是NCFB和NOFB模式？" href="/681571.html"> 什么是NCFB和NOFB模式？; </a> </li> <li> <a target="_blank" title="警告：mysqli_connect（）：（HY000 / 1045）：访问被拒绝用户'用户名'@'localhost'（使用密码：是）" href="/594668.html"> 警告：mysqli_connect（）：（HY000 / 1045）：访问被拒绝用户'用户名'@'localhost'（使用密码：是）; </a> </li> <li> <a target="_blank" title="如何处理致命错误：cURL错误7：无法连接到xxxx端口443" href="/589688.html"> 如何处理致命错误：cURL错误7：无法连接到xxxx端口443; </a> </li> <li> <a target="_blank" title="参数3传递给GuzzleHttp\Client :: request（）必须是数组类型，给定字符串" href="/748988.html"> 参数3传递给GuzzleHttp\Client :: request（）必须是数组类型，给定字符串; </a> </li> <li> <a target="_blank" title="phpMyAdmin的＃2054无法登录到MySQL服务器" href="/218086.html"> phpMyAdmin的＃2054无法登录到MySQL服务器; </a> </li> <li> <a target="_blank" title="SSL错误SSL3_GET_SERVER_CERTIFICATE：证书验证失败" href="/215284.html"> SSL错误SSL3_GET_SERVER_CERTIFICATE：证书验证失败; </a> </li> <li> <a target="_blank" title="在PHPExcel中设置字体颜色，字体和字体大小" href="/511258.html"> 在PHPExcel中设置字体颜色，字体和字体大小; </a> </li> <li> <a target="_blank" title="如何解决cURL错误（7）：无法连接到主机？" href="/588378.html"> 如何解决cURL错误（7）：无法连接到主机？; </a> </li> </ul> </div> <div class="widget widget-side bgwhite mb-1 shadow"> <h5> 热门教程 </h5> <ul> <li> <a target="_blank" title="Java教程" href="/OnLineTutorial/java/index.html"> Java教程 </a> </li> <li> <a target="_blank" title="Apache ANT 教程" href="/OnLineTutorial/ant/index.html"> Apache ANT 教程 </a> </li> <li> <a target="_blank" title="Kali Linux教程" href="/OnLineTutorial/kali_linux/index.html"> Kali Linux教程 </a> </li> <li> <a target="_blank" title="JavaScript教程" href="/OnLineTutorial/javascript/index.html"> JavaScript教程 </a> </li> <li> <a target="_blank" title="JavaFx教程" href="/OnLineTutorial/javafx/index.html"> JavaFx教程 </a> </li> <li> <a target="_blank" title="MFC 教程" href="/OnLineTutorial/mfc/index.html"> MFC 教程 </a> </li> <li> <a target="_blank" title="Apache HTTP客户端教程" href="/OnLineTutorial/apache_httpclient/index.html"> Apache HTTP客户端教程 </a> </li> <li> <a target="_blank" title="Microsoft Visio 教程" href="/OnLineTutorial/microsoft_visio/index.html"> Microsoft Visio 教程 </a> </li> </ul> </div> <div class="widget widget-side bgwhite mb-1 shadow"> <h5> 热门工具 </h5> <ul> <li> <a target="_blank" title="Java 在线工具" href="/Onlinetools/details/4"> Java 在线工具 </a> </li> <li> <a target="_blank" title="C(GCC) 在线工具" href="/Onlinetools/details/6"> C(GCC) 在线工具 </a> </li> <li> <a target="_blank" title="PHP 在线工具" href="/Onlinetools/details/8"> PHP 在线工具 </a> </li> <li> <a target="_blank" title="C# 在线工具" href="/Onlinetools/details/1"> C# 在线工具 </a> </li> <li> <a target="_blank" title="Python 在线工具" href="/Onlinetools/details/5"> Python 在线工具 </a> </li> <li> <a target="_blank" title="MySQL 在线工具" href="/Onlinetools/Dbdetails/33"> MySQL 在线工具 </a> </li> <li> <a target="_blank" title="VB.NET 在线工具" href="/Onlinetools/details/2"> VB.NET 在线工具 </a> </li> <li> <a target="_blank" title="Lua 在线工具" href="/Onlinetools/details/14"> Lua 在线工具 </a> </li> <li> <a target="_blank" title="Oracle 在线工具" href="/Onlinetools/Dbdetails/35"> Oracle 在线工具 </a> </li> <li> <a target="_blank" title="C++(GCC) 在线工具" href="/Onlinetools/details/7"> C++(GCC) 在线工具 </a> </li> <li> <a target="_blank" title="Go 在线工具" href="/Onlinetools/details/20"> Go 在线工具 </a> </li> <li> <a target="_blank" title="Fortran 在线工具" href="/Onlinetools/details/45"> Fortran 在线工具 </a> </li> </ul> </div> </div> </div> <script type="text/javascript">var eskeys = '我,什,至,需要,htmlspecialchars,作为,textarea,的,值,吗'; var cat = 'cc';';//php</script> </div> <div id="pop" onclick="pophide();"> <div id="pop_body" onclick="event.stopPropagation();"> <h6 class="flex flex101"> 登录 <span onclick="pophide();">关闭</span> </h6> <div class="pd-1"> <div class="wxtip center"> <span>扫码关注<em>1秒</em>登录</span> </div> <div class="center"> <img id="qr" src="https://huajiakeji.com/Content/Images/qrydx.jpg" alt="" style="width:150px;height:150px;" /> </div> <div style="margin-top:10px;display:flex;justify-content: center;"> <input type="text" placeholder="输入验证码" id="txtcode" autocomplete="off" /> <input id="btngo" type="button" onclick="chk()" value="GO" /> </div> <div class="center" style="margin: 4px; font-size: .8rem; color: #f60;"> 发送“验证码”获取 <em style="padding: 0 .5rem;">|</em> <span style="color: #01a05c;">15天全站免登陆</span> </div> <div id="chkinfo" class="tip"></div> </div> </div> </div> <script type="text/javascript" src="https://lib.sinaapp.com/js/jquery/1.9.1/jquery-1.9.1.min.js"></script> <script type="text/javascript" src="https://cdn.bootcss.com/jquery-cookie/1.4.1/jquery.cookie.min.js"></script> <script type="text/javascript" src="https://img01.yuandaxia.cn/Scripts/highlight.min.js"></script> <script type="text/javascript" src="https://img01.yuandaxia.cn/Scripts/base.js?v=0.22"></script> <script type="text/javascript" src="https://img01.yuandaxia.cn/Scripts/tui.js?v=0.11"></script> <footer class="footer"> <div class="container"> <div class="flink mb-1"> 友情链接： <a href="https://www.it1352.com/" target="_blank">IT屋</a> <a href="https://huajiakeji.com/" target="_blank">Chrome插件</a> <a href="https://www.cnplugins.com/" target="_blank">谷歌浏览器插件</a> </div> <section class="copyright-section"> <a href="https://www.it1352.com" title="IT屋-程序员软件开发技术分享社区">IT屋</a> ©2016-2022 <a href="http://www.beian.miit.gov.cn/" target="_blank">琼ICP备2021000895号-1</a> <a href="/sitemap.html" target="_blank" title="站点地图">站点地图</a> <a href="/Home/Tags" target="_blank" title="站点标签">站点标签</a> <a target="_blank" alt="sitemap" href="/sitemap.xml">SiteMap</a> <a href="/1155981.html" title="IT屋-免责申明"><免责申明></a> 本站内容来源互联网,如果侵犯您的权益请联系我们删除. </section> <!--统计代码--> <script type="text/javascript"> var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?0c3a090f7b3c4ad458ac1296cb5cc779"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); </script> <script type="text/javascript"> (function () { var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })(); </script> </div> </footer> </body> </html>