Intereting Posts
Изменить страницу входа по умолчанию в FOSUserBundle (Symfony) Свяжите одну страницу с другой пользователем тегом <a> в PHP Структура строки Serialized PHP Неожиданное наблюдение: var_dump () массива помещает ссылки на элементы … с каких пор? Строки таблицы раскраски Symfony2 в зависимости от значения базы данных и параметра конфигурации strlen, mb_strlen, который использовать? Стратегии кэширования в MVC Framework? PHP. Как получить значение параметра из $ _SERVER ? Автоматическое увеличение числа в img src Измените размер изображения в соответствии с размером текста Запрос API YouTube: как я мог получить правильный токен (о коде Jim S.) Использование PHP для минимизации Javascript / HTML / CSS в условиях STRING Создание следующего значения последовательности вручную в Doctrine 2 Google Script отправляет значения формы по электронной почте, ошибка: невозможно прочитать свойство "namedValues" Выполните файл PHP и верните результат в виде строки

Защищает ли urlencode () от XSS

$address и $cityState предоставляется пользователю, хранятся в БД и доступны для других, как показано ниже. Существует ли риск XSS ? Должен ли использоваться htmlspecialchars() ?

 <img src="http://maps.google.com/maps/api/staticmap?markers=color:blue|<?php echo(urlencode($address.' '.$cityState));?>&amp;zoom=14&amp;size=400x400&amp;sensor=false" alt="Map" /> 

Related of "Защищает ли urlencode () от XSS"

Нет никакой волшебной палочки PHP-функции, которая защитит вас от всех. Каждая защита на 100% безопасна до тех пор, пока она не будет взломана. Вам просто нужно понять, откуда и как ваш сайт может быть взломан и улучшить вашу защиту каждый день.

Вы можете получить некоторые интересные советы из статьи о предотвращении XSS .

Также из документации php.net urlencode :

 <?php $query_string = 'foo=' . urlencode($foo) . '&bar=' . urlencode($bar); echo '<a href="mycgi?' . htmlentities($query_string) . '">'; ?> 

Да, также следует использовать htmlspecialchars – вы сначала кодируете URL-адрес, чтобы быть безопасным URL-адресом, а затем вы строите его в HTML-атрибут, который требует «экранирования в стиле HTML».

После использования обоих кодировок уже невозможно ввести произвольный код на вашем конце шкалы, поэтому, если все риски остаются, они находятся в конце Google. Таким образом, вы можете считать этот код безопасным.

urlencode() не должен использоваться для защиты от XSS. htmlspecialchars() – это путь, но вы никогда не будете в безопасности.