防XSS攻擊之特殊字元轉換為html實體

什麼是xss攻擊，比如，比如，

我們把**發布在網上，有一些惡意的使用者在提交資料的時候會在表單輸入js,css.a標籤之類的這些html語言，然後這些資料被儲存到資料庫，那麼我們要呼叫這些資料的時候，這些資料被原封不動的被呈現在網頁上，這些資料是可以被html所識別的，屆時我的的頁面就會變得亂七八糟的。

怎麼解決呢，我們只要在這些資料沒有插入資料庫前呼叫php內建函式將這些特殊的字元轉換為html實體。接下來我們來談談php的這幾個內建函式。

*1.htmlentities — 將字元轉換為 html 轉義字元

用法：

htmlentities( string $string[, int $flags = ent_compat | ent_html401[, string $encoding = ini_get("default_charset")[, bool $double_encode = true]]] ) : string

*2.htmlspecialchars — 將特殊字元轉換為 html 實體(這個函式與htmllentities函式的去別是，htmlentities會轉換所有html 實體的字元，而這個函式就只轉換以下特殊字元的html實體)

用法：

htmlspecialchars( string $string[, int $flags = ent_compat | ent_html401[, string $encoding = ini_get("default_charset")[, bool $double_encode = true]]] ) : string

防XSS攻擊之特殊字元轉換為html實體

防xss攻擊相關知識

bhpyg Thinkphp5 XSS攻擊防禦

TP5框架《防sql注入防xss攻擊》

防XSS攻擊之特殊字元轉換為html實體

防xss攻擊相關知識

bhpyg Thinkphp5 XSS攻擊防禦

TP5框架 《防sql注入 防xss攻擊》

相關推薦

TP5框架《防sql注入防xss攻擊》