XSS预防PHP

可能重复：
What are the best practices for avoid xss attacks in a PHP site XSS预防PHP

我需要防止在PHP代码XSS攻击，是有否好，易库呢？

2010-04-16 newbie

-1

htmlspecialchars()

2010-04-16 10:27:16

我也注意到了，它阻止警报;（ 'XSS攻击测试！'）从运行，所以它必须做点什么 – newbie 2010-04-16 10:33:51

这将使unicode字符无法读取（п=> п） – 2013-11-28 16:30:16

安全不是产品。这是一个过程。

如果你依赖一个库来保证安全，你注定会遭到某种攻击。

无论如何，你可以用消毒标准的PHP函数的输入（即htmlspecialchars()）

2010-04-16 10:28:49

好的我添加到输入，将打印在页面上，这将防止所有的XSS攻击或至少大部分？ – newbie 2010-04-16 10:32:51

我建议你阅读XSS。你需要了解它是如何工作的，以防止它。 – Marius 2010-04-16 10:38:39

我知道什么是XSS – newbie 2010-04-16 10:45:35

很多关于谷歌很好的答案，我第一个发现的

2010-04-16 10:34:21 Ivan

PHP：该项目的当前版本不适合生产使用。 – qwertzman 2012-08-24 13:34:50

我的主要建议是将每个输入视为直接攻击。

所以转换为html字符。添加斜杠。

2010-04-16 10:35:55 azz0r

有很多PHP函数可以帮助您防止XSS攻击。看看这些：

strip_tags

htmlspecialchars

2010-04-16 10:37:04 Finbarr

htmlentities最好从列表中删除。因为这个功能已经过时并且很脏 – 2010-04-16 10:38:25

这样的肮脏功能的洪流很难跟上实际可用的PHP。 – Finbarr 2010-04-16 11:59:07

嗯，什么？ htmlentities还活着，而且通常更喜欢htmlspecialchars http://php.net/manual/en/function.htmlentities.php – Kzqai 2013-02-26 21:59:47

回答