防禦xss攻擊,最簡單粗暴的做法就是用htmlspecialchars把特殊字元(&,",',<,>)替換為html實體(&"'<>)後輸出.防禦xss攻擊,最複雜的做法就是自己寫正則過濾,不過還好有htmlpurifier庫,除了能過濾xss**,還能把不完整的標籤補全或者去掉.
<?php
# require dirname(__file__).'/htmlpurifier/library/htmlpurifier.auto.php';
$purifier = new htmlpurifier();
echo
$purifier->purify($html);
防XSS攻擊之特殊字元轉換為html實體
什麼是xss攻擊,比如,比如,我們把 發布在網上,有一些惡意的使用者在提交資料的時候會在表單輸入js,css.a標籤之類的這些html語言,然後這些資料被儲存到資料庫,那麼我們要呼叫這些資料的時候,這些資料被原封不動的被呈現在網頁上,這些資料是可以被html所識別的,屆時我的的頁面就會變得亂七八糟的...
HTML 字元實體
諸如 之類的符號在html中擁有特殊的含義,所以在文字中使用它們。為了在 html 中顯示小於號 我們需要使用字元實體。一些字元在 html 中擁有特殊的含義,比如小於號 用於定義 html 標籤的開始。如果我們希望瀏覽器正確地顯示這些字元,我們必須在 html 原始碼中插入字元實體。字元實體有三部...
html符號實體
html符號實體 在網頁上顯示一些特殊的符號,我們需要使用html的符號實體,有些人把它稱為字元實體。說明 當我們在網頁中有一些特殊字元時候,可以考慮使用字元實體 char entity html超連結 href mailto 電子郵箱位址 版權符號 font size 7 font br font...