-4
可能重复:
What are the best practices for avoiding xss attacks in a PHP site这足以保护我免受XSS的侵害吗?
这是否足以保护我免受XSS
$title = preg_replace('/<[^>]*>/', '', $titleGet);
如果要我用这个插入之前到DB
可能重复:
What are the best practices for avoiding xss attacks in a PHP site这足以保护我免受XSS的侵害吗?
这是否足以保护我免受XSS
$title = preg_replace('/<[^>]*>/', '', $titleGet);
如果要我用这个插入之前到DB
保护您的表格免受XSS攻击并仍然如此让我看看HTML Purifier(http://htmlpurifier.org/)。
我不会让一些HTML只是在它去到DB之前将其删除 – Ben 2012-03-03 18:35:38
不,您可能想使用['strip_tags'](http://php.net/strip_tags)。哪个并不处理所有的XSS情况,只是说,所以双重否。没有任何语境,绝对安全的方法来阻止XSS,如果你正在寻找一种全球化的做事方式,就不允许输入。 – hakre 2012-03-03 18:03:53
任意丢弃输入位很少是解决任何XSS问题的好办法。 – Quentin 2012-03-03 18:04:44
你应该研究准备好的陈述和占位符。将用户数据直接注入到您的SQL语句中是错误的做法。 – 2012-03-03 18:05:07