编辑:我的问题不是如何防止XSS,因为我已经知道如何,但它是如果用户可以绕过双引号删除。谢谢虽然:)这是XSS-ed吗?
这是容易被XSS:
<img src="" alt="<?php echo str_replace('"', '', $_POST['imageDescription']);?>" title="Image">
e.g如果用户键入"><script>alert('hacked');</script>
这是行不通的,因为双引号被剥离出来,但这个还是可以XSSed? 我总是验证数据,但我只是想知道。
可能重复的[如何防止与HTML/PHP的XSS?](http://stackoverflow.com/questions/1996122/how-to-prevent-xss-with-html-php) – Martin
@Martin请阅读我的编辑 –
您的问题是要求在某种情况下如何防止XSS。如果你已经知道如何防止XSS,那么你为什么不在这个问题上使用这种方法?如果POSTED数据是特定的模糊字符集,并且POST数据以特定方式格式化,则双引号字符串replace可能* *可能被忽略,但通过遵循在其他被引用的原始问题上给出的建议,这些尝试是无效的。 – Martin