我已经做了一个函数来处理CSS和XSS注入,但它仍然通过。如何防范XSS和CSS注入?
有人说下面给我,但我不知道这意味着什么:
在您sanitize_input功能,做一个用strip_tags剥离可能已经通过形式加入所有的HTML标签。在strip_tags上阅读php.net。
这里是我的代码:
private function sanitizeInput() {
foreach($_POST as &$post) {
$post = $this -> db -> real_escape_string($post);
}
}
你是**不**在那里做任何消毒。你只是在做一些SQL上下文转义,它不会从根本上“修复”恶意数据。如果你不打算在SQL查询中使用这些数据,那么这样的转义也是毫无意义的。 –
[伟大的逃避现实(或:你需要知道如何处理文本中的文本)](http://kunststube.net/escapism/) – deceze
你用什么功能访问数据库? 你也应该有strip_tags函数:'$ post = strip_tags($ this-> db-> real_escape_string($ post));'如果你想删除标签。 –