PHP Lang

Articles of xss

Должны ли htmlspecialchars и mysql_real_escape_string сохранить код PHP безопасным от инъекции?

Ранее сегодня был задан вопрос относительно стратегий проверки ввода в веб-приложениях . Главный ответ, на момент написания, предлагает в PHP просто использовать htmlspecialchars и mysql_real_escape_string . Мой вопрос: это всегда достаточно? Больше мы должны знать? Где эти функции ломаются?

Является ли strip_tags () уязвимым для сценариев атак?

Существует ли известная XSS или другая атака, которая $content = "some HTML code"; $content = strip_tags($content); echo $content; ? В руководстве есть предупреждение: Эта функция не изменяет никаких атрибутов в тегах, которые вы разрешаете использовать allowable_tags, включая атрибуты стиля и onmouseover, которые может оскорбительный пользователь может злоупотреблять при публикации текста, который будет показан другим пользователям. […]

Как разрешить определенные теги html?

У меня есть текстовое поле, где пользователь может написать статью. Статья может содержать текст (жирный и курсив), ссылки и видеоролики YouTube. Как разрешить эти определенные теги html и по-прежнему отправлять безопасный код, предотвращающий xss?
Intereting Posts
Вставка данных в базу данных MySql Получить все скрипты с внешнего веб-сайта array_udiff не работает как ожидалось Как определить местоположение ключевого слова в документе HTML? Проблема с функцией PHP Как найти положение пробела с регулярным выражением Поле ввода добавлено через javascript не в переменной PHP $ _POST. Как это исправить? Получение записей mysql в таблицу html с использованием PHP Cakephp 2.0 и базовый auth Автоматизировать разрешение Entrust с доступом к параметрам имени маршрута и проверить разрешение пользователя php str_ireplace без потери дела Выполнить функцию PHP из изображения события OnClick Значения форм пусты (не значение) после визуализации виджета в форме как интерфейсы используются для ослабления связи? Facebook API – Как получить доступ к моему фотоальбому?