Я был бы признателен за ответ, чтобы урегулировать разногласие между мной и некоторыми сотрудниками. У нас есть типичное веб-приложение PHP / LAMP. Единственный вход, который мы хотим от пользователей, – это простой текст. Мы не приглашаем или не хотим, чтобы пользователи вводили HTML в любой момент. Элементы формы – это в основном базовые текстовые теги […]
В основном при отображении данных из базы данных MySQL у меня есть htmlspecialchars() ниже, которая должна конвертировать одиночные и двойные кавычки в их безопасные htmlspecialchars() . Проблема, с которой я сталкиваюсь, заключается в просмотре исходного кода, это только преобразование < > & когда мне также нужно преобразовать одиночные и двойные кавычки. //sanitize data from db […]
Я отправляю это с помощью AJAX POST: <li><ul class "zone zCentral ui-sortable"><li><ul class="region rCol3 ui-sortable"><li class="" style=""><div><span class="tc tc_video">574081</span> <span>video: 'Mundo.Hoy': ¿Dónde habré olvidado… mi memoria?</span></div></li></ul></li></ul></li> Я делаю это для создания XML: header('Content-type: text/html; charset=utf-8'); if(isset($_POST) && isset($_POST['data'])) { $data = '<ul id="zone_container" class="ui-sortable">'; $data .= $_POST['data']; $data .= '</ul>'; $dom = new DOMDocument('1.0', 'utf-8'); […]
Я немного смущен этим. Я читал о htmlspecialchars() и я планирую использовать это для htmlspecialchars() POST чтобы предотвратить атаку XSS. Я понимаю, что обычно htmlspecialchars() используются для генерации вывода HTML, который отправляется в браузер. Но я не уверен: 1) Безопасно ли использовать htmlspecialchars() для пользовательских входных данных, прежде чем вставлять их в MySQL? Я уже […]
Есть ли аналогичная или эквивалентная функция в Python для функции PHP htmlspecialchars ()? Самое близкое, что я нашел до сих пор, это htmlentitydefs.entitydefs ().
Я использую htmlspecialchars() для предотвращения атак XSS. У меня есть сомнения относительно того, что является лучшим способом хранения данных в базе данных из следующего. Способ 1. Сохраните htmlspecialchars() пользователем значения после применения функции htmlspecialchars() . Используя это, пользовательский ввод "<script>" станет «& lt; script & gt;»; , Способ 2. Сохраните ввод пользователя как есть и […]
вот моя строка hello world <textarea>hello world</textarea> как я могу преобразовать эту строку hello world <textarea>hello world</textarea> в php. Любая помощь, пожалуйста … Я пытаюсь htmlspecialchars (); но это не работает идеально.
Хорошо, эта тема – это очаг, я это понимаю. Я также понимаю, что эта ситуация зависит от того, что вы используете в качестве кода. У меня есть три ситуации, которые необходимо решить. У меня есть форма, где мы должны позволять людям делать комментарии и заявления, которые используют запятые, тильды и т. Д., Но все равно […]
При выводе пользовательского ввода вы используете только htmlspecialchars() или есть функции / действия / методы, которые вы также запускаете? Я ищу что-то, что будет иметь дело с XSS. Мне интересно, следует ли мне написать функцию, которая избегает ввода пользователем на выходе или просто использует htmlspecialchars() . Я ищу общие случаи, а не конкретные случаи, которые […]
Вот строка кода, который у меня есть, который отлично работает: $content = htmlspecialchars($_POST['content'], ENT_QUOTES); Но то, что я хотел бы сделать, это разрешить передачу только определенных типов HTML-кода без преобразования. Вот список HTML-кода, который я хотел бы передать: <pre> </pre> <b> </b> <em> </em> <u> </u> <ul> </ul> <li> </li> <ol> </ol> И по мере […]