PHP Lang
  1. PHP Lang
  3. HTMLPurifier без htmlspecialchars
Intereting Posts
Php – Отладка Curl Почему $ _FILES пуст при загрузке файлов на PHP? Приложение Zend Framework без виртуальных хостов php5.3.3 date.timezone снова директива php.ini не принимается во внимание Как запросить вложенные ключи в Riak? CJuiDatePicker в CGridview как поле формы Woot-badge как в PHP Как удалить "index.php" в пути codeigniter В Laravel 5.1 Нельзя публиковать значение флажка Как развернуть проект symfony без доступа к продукту SSH и CLI Использование CodeIgniter – это плохая практика загрузки представления в цикле Нарушение ограничения целостности: 1062 Дублирующая запись для сортировки utf8_unicode_ci PHP: Как определить, содержит ли строка какие-либо специальные символы? Как превратить строки в столбцы? Как использовать запрос async Mysql с PHP PDO

HTMLPurifier без htmlspecialchars

Я использую HTMLPurifier для простого Tinymce WYSIWYG Если я не использую htmlspecialchars , будет ли он открыт для XSS Attack ? Это то, что я делаю 

 $detail = $purifier->purify($detail);

для очистки данных для этого textarea htmlspecialchars Если я использую htmlspecialchars , он также htmlspecialchars все базовые теги, которые не являются удобными для WYSIWYG Но проблема заключается в том, что это позволяет также использовать <script> tag .

И если я изменил conf setting на 

 $config->set('ExtractStyleBlocks.1', true);

Он не позволяет использовать < и > для <script> tag .Convert < и > для <script> Но это показывает <p>This is paragraph</p> , <strong>This text is bold</strong> и поэтому on.It не должен показывать <p> and other simple tags пользователю, а только текст.

Как я могу избавиться от этой проблемы.

Пожалуйста, помогите. Спасибо за ваше время.

редактировать

Вот моя инициализация HTMLPurifier 

 $config = HTMLPurifier_Config::createDefault(); //$config->set('ExtractStyleBlocks', true); $config->set('HTML.ForbiddenElements', array('script','style','applet')); $purifier = new HTMLPurifier($config);

получение данных из базы данных 

 while(mysqli_stmt_fetch($stmt1)){ $id=htmlspecialchars($id); $title=htmlspecialchars($title); $detail = $purifier->purify($detail); $posts.="<div id='date_news'><div id='news_holder$id' class='news_holder'><h3 id='show_title'>".htmlspecialchars($title)."</h3>".$detail."</div>"; в while(mysqli_stmt_fetch($stmt1)){ $id=htmlspecialchars($id); $title=htmlspecialchars($title); $detail = $purifier->purify($detail); $posts.="<div id='date_news'><div id='news_holder$id' class='news_holder'><h3 id='show_title'>".htmlspecialchars($title)."</h3>".$detail."</div>";

HTML для $detail

В базе данных 

 <p><strong>Alu Vazi</strong></p> <p>I love alu vazi with&lt;script&gt;alert("XSS")&lt;/script&gt;</p>

Экран пользователя

Alu Vazi

Я люблю alu vazi с предупреждением <script> («XSS») </script>

Есть ли эквивалент Python функции PHP htmlspecialchars ()?php XML DOM переводит специальные символы в & # xYY;Sanitizing PHP / SQL $ _POST, $ _GET и т. Д.??htmlspecialchars & ENT_QUOTES не работает?Ошибка PHP htmlspecialchars

ОК, следуя моему комментарию, попробуйте добавить это в свою конфигурацию HTML Purifier, его следует включить по умолчанию, но стоит сделать снимок. 

 $config = HTMLPurifier_Config::createDefault(); $config->set('HTML.ForbiddenElements', array('script','style','applet')); $purifier = new HTMLPurifier($config);

редактировать 

 <p>I love alu vazi with&lt;script&gt;alert("XSS")&lt;/script&gt;</p>

Вы уже избегаете <script> поэтому в HTML-очистителе нет ничего для анализа. Он будет выводиться на странице в результате, но вы эффективно нейтрализовали попытку XSS.

В вашем коде что-то уже ускользает от символов HTML перед сохранением в базе данных.