php - sanitizer 输入但输出不符合预期-6ren

php - sanitizer 输入但输出不符合预期

转载作者：行者123 更新时间：2023-11-29 02:53:13

27

4

这是我的一个表单(PHP+MySQL，textarea被TinyMCE取代)。它记录了带有段落、项目符号、标题和文本对齐方式(右对齐、左对齐、居中对齐和对齐)的描述。

提交后，记录显示为

<p style="text-align: justify;"><strong>Introduction</strong></p>
<p style="text-align: justify;">The death of the pixel leaves you with a flowing, magazine-quality canvas to design for. A canvas where curves are curves, not ugly pixel approximations of curves. A canvas that begins to blur the line between what we consider to be real and what we consider to be virtual.</p>
<p style="text-align: justify;">It wasn't too long ago that there was one set of rules for use of type on print and use of type on screen. Now that we have screens that are essentially print quality, we have to reevaluate these conventions.</p>
<p style="text-align: justify;">Web sites are transforming from boring fields of Arial to embrace the gamut of typographical possibilities offered by web fonts. Web fonts, combined with the style and layout options presented by the creative use of CSS and JavaScript offer a new world of typographic oppor</p>
<ol>
<li style="text-align: justify;">point 1</li>
<li style="text-align: justify;">point 2</li>
<li style="text-align: justify;">point 3</li>
</ol>

我读到您需要清理进入数据库的所有数据以避免 XSS 并开始寻找解决方案。

我找到的解决方案是使用“htmlspecialchars()”(来源:Lynda.com - 创建安全的 PHP 网站)。

所以，教程说我们需要在保存到数据库之前清理我们的输入并使用类似(示例代码)的东西

<?php
    if($_SERVER['REQUEST_METHOD'] === 'POST') {
        $category_description = $_POST['category_description'];
        echo $category_description;
        echo '<br><br>';
        echo htmlspecialchars($category_description);
        echo '<br><br>';
        echo htmlentities($category_description);
        echo '<br><br>';
        echo strip_tags($category_description);

    }
?>

避免XSS。

我到这里为止。 htmlspecialchars() 函数将一些预定义的字符转换为 HTML 实体，htmlentities() 将字符转换为 HTML 实体，而 strip_tags() 则完全删除所有标签。

但是在使用 htmlspecialchars()、htmlentities() 和 strip_tags() 之后，输出现在呈现为

我认为这是安全的，但从数据库中获取时在首页上看起来不太好。

如何渲染通过 htmlspecialchars 或 htmlentities 传递的输入？

最佳答案

我的建议是构建一个函数来清理所有文本输入和一个函数来检查来自数据库或任何其他来源的所有输出，如下所示:

<?php
// filter for user input
function filterInput($content)
{
    $content = trim($content);
    $content = stripslashes($content);

    return $content;
}

//filter for viewing data
function filterOutput($content)
{
    $content = htmlentities($content, ENT_NOQUOTES);
    $content = nl2br($content, false);

    return $content;
}

根据您的策略，您可能会向过滤器添加额外功能或删除一些功能。但是你在这里拥有的功能足以保护你免受 XSS 攻击。

编辑:除了上述功能，this answer也可能与您的部分网站保护相关。

不同方法的引用:

修剪:http://php.net/manual/en/function.trim.php
strip 斜线:http://php.net/manual/en/function.stripslashes.php
html实体:http://php.net/manual/en/function.htmlentities.php
nl2br: http://php.net/manual/en/function.nl2br.php

查看以下链接也是一个好主意:

重要的是，了解前 10 大风险并了解更多信息是件好事。

https://www.owasp.org/index.php/Top_10_2013-Top_10

关于php - sanitizer 输入但输出不符合预期，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33411455/

27

4

0

文章推荐： ios - 音位间隙 3.4 : error ITM-9000 when distribute app to app store

文章推荐： elasticsearch:使用聚合值进行过滤

文章推荐： mysql - 防止在 NodeJS 上双重运行

文章推荐： mysql - 多列 WHERE 子句中的 AND 条件

SwiftUI 符合 Hashable
我们如何让 SwiftUI 对象，尤其是 Image，符合 Hashable 协议(protocol)？我知道它们符合 Equatable 协议(protocol)，所以主要问题是如何获取哈希值，或
ios - 符合 AVAudioPlayerDelegate
我遇到了一些符合 AVAudioPlayerDelegate 的奇怪问题。以下正是我在一个全新的 Xcode 项目中所拥有的: import UIKit import AVFoundation cla
swift - 符合 NSCoding
我一辈子都弄不明白为什么我会收到此类不符合 NSCoding 协议(protocol)的错误。也许另一双眼睛会有所帮助。我试图添加注释以明确每个函数在做什么。 import Foundation im
符合 C 标准的结构对齐方式
关闭。这个问题需要details or clarity .它目前不接受答案。想改进这个问题吗？通过 editing this post 添加细节并澄清问题. 关闭 9 年前。 Improve t
xhtml - 符合 XHTML 的意义何在？
所有现代浏览器都理解 HTML，所以除了在键盘最右侧编写更多字符之外，兼容 XHTML 的意义何在。最佳答案没有一点我能想到的。 W3C 已经取消了 XHTML 2.0，尽管应该有一个 XHTML
oop - 符合 Liskov 的状态设计模式
我正在设计一个订单系统，状态设计模式似乎很合适，因为订单可以更改其状态，从而更改订单允许的功能。下面是我的基本类图: 我不喜欢这种方法，因为客户端无法查看某个方法是否受支持并且违反了里氏原则。我在下面
neo4j - 符合 neo4j 中的模式
我正在考虑使用图形数据库来存储 IFC数据。理想情况下，数据库应该提供一种方法来定义 IFC 架构中定义的所有规则类型。但是，我不认为有任何这样的数据库，因为 IFC 中的某些规则类型非常复杂并且需要
fips - 符合 FISMA/其他联邦信息系统要求的散列算法
我所在的组织必须满足 FISMA 对启用 FIPS 的系统的要求。我正在尝试做的一件事是为我们的密码实现哈希算法。我对此有很多选择:SHA-2、MD5、bcrypt(使用 Blowfish)、RIPE
Swift:CoreData 符合 MKAnnotation
我正在尝试实现我的自定义 CoreData Carpark 实体以符合 MKAnnotation，就像我们如何使 class 对象符合 >MKAnnotation. 我根据以下帖子调整了我的实现:th
swift - 符合 'CBCentralManagerDelegate'协议(protocol)
我在 project-Swift.h 文件中收到名为“CBCentralManagerDelegate”的 No 类型或协议(protocol)。不知道我在这里哪里出错了。我认为这与 swift.h
c++ - 从原始内存中读取值(符合 MISRA)
我正在尝试读取之前写入 NVM 闪存的变量的值。我的代码是: uintptr_t address = getAddress(); //[MISRA C++ Rule 5-2-8] cast from
java - 符合 .implements 的数组
所以我有这个练习要解决。我必须创建第一个。一个名为 Printable 的接口(interface)，它有一个 put() 方法，该方法将接受实现 Comparable 的对象。完成 interfa
c - 符合 IEEE754 的结构
我的问题涉及 IEEE 754 单精度数字。假设我有一个结构: typedef struct __ieee754 { int sign; int exponent; int mant
c++ - 符合 STL 的内存分配器库
我需要使用 map，键为 uint32_t，值为 Meshes。我希望将网格布局在连续的内存中以 boost 性能，因为它们将经常被连续访问。我想知道有哪些内存分配器库可以提供以下内容；分配给连续
符合 C++ STL 的分配器
在处理小对象时，有哪些分配器可用于 STL。我已经尝试过使用 Boost 的池分配器，但没有得到任何性能提升(实际上，在某些情况下性能下降相当大)。最佳答案你没有说你使用的是什么编译器，但它可能带
符合 c++ STL 的迭代器迭代器
我想做什么我有一种划分事物的方法。此方法不会对数组进行完全排序；它只是简单地对数组进行分区，以便一侧的所有元素(某些预先确定的“中心”或“中点值”——但它不必导致均匀拆分)小于“中心”和另一侧的所有
http - 符合 RESTful 标准的设计
假设我需要开发一个 REST 银行应用程序允许创建/销毁银行账户以及对帐户进行以下操作:withdraw/credit/getBalance。创建帐户 PUT/银行/约翰这里我使用 PUT 而不是
ios - 符合 Equatable 的单元测试策略
假设我有一个 struct 符合我的模型的 Equatable，如下所示: struct Model: Equatable { var a: Int = 0 var b: String
swift - 符合 Decodable 的类不需要初始化器
我目前正在研究 Decodable、Encodable 和 friend ，试图理解它背后的“魔法”。以下是我发现不寻常的一件事: class Person: Decodable { var n
swift - 符合 RawRepresentable 的枚举
在 Swift 书中，枚举的例子很好用 enum CompassPoint: String { case north, south, east, west } var northCom = C

首页

博学

6Ren·AI

商城

php - sanitizer 输入但输出不符合预期