php - html 清理造成困难

Question

我从数据库中读取用户配置文件并显示给他们。在我向他们展示之前，我通过 php htmlentities 使用 HTML 清理。它正确地显示了它们。但是，虽然允许用户对其进行编辑，但它显示为双重过滤。

echo '<input id="about" name="about" value="'.$php_filtered_value>.'">';

然后在输入中，& 符号看起来像 &如果我不过滤变量，就会担心 html 注入(inject)。

我该怎么办？

Answer 1

我更喜欢遵循 ​​OWASP 规则#2:

>  RULE #2 - Attribute Escape Before Inserting Untrusted Data into HTML
Requirements:
-Aggressive HTML Entity Encoding
-Only place untrusted data into a whitelist of safe attributes (listed below).
-Strictly validate unsafe attributes such as background, id and name.

请参阅XSS (Cross Site Scripting) Prevention Cheat Sheet