-1
我有一个输入字段,我使用htmlentities
来编码值。XSS易受攻击,即使当我使用编码时
$value=htmlentities($value);
存储在分贝值是:
"/><script>alert(document.cookie)</script><br class="
但是当我显示上述文本到用户,执行警戒。我怎样才能防止呢?
您数据已经是HTML编码的(例如, '<'),应用'htmlentities()'将对它编码两次('& lt;')。 '<'和'& lt;'都与'<'非常不同。我相信你有一个错误的诊断(或者这不是实际的代码)。 –