PTT數位生活區 / PHP

[請益] htmlspecialchars 安全性問題

看板PHP作者 (雷)時間14年前 (2011/08/03 19:40), 編輯推噓2(2013)
留言15則, 2人參與, 最新討論串1/1
想請問各位前輩們 如果要存留言板的內文 而內文可以使用html 安全性要怎麼防護呢? 目前做法是在存入前使用htmlspecialchars 需要輸出在反解回來 因為是html所以很多字串沒辦法過濾不知道這樣會不會有危險 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.11.69.188
08/03 23:59, , 1F
好像有現成的filter php extenstion可以使用
08/03 23:59, 1F
08/04 00:00, , 2F
08/04 00:00, 2F
08/04 00:01, , 3F
也可以自己google,keyword: input filter php
08/04 00:01, 3F
08/04 21:05, , 4F
謝謝Cgcheng 的函數 不過我是需要防sql injection
08/04 21:05, 4F
08/04 21:07, , 5F
且能夠存入資料庫後在解回版面,因為不對外不擔心有jsc攻擊
08/04 21:07, 5F
08/04 21:09, , 6F
不知道是否用htmlspecialchars就可以達到安全的防止sql in
08/04 21:09, 6F
08/07 04:42, , 7F
我提供的應該有包含injection防止
08/07 04:42, 7F
08/07 04:42, , 8F
不過看起來好像我提供什麼你連測都沒測?
08/07 04:42, 8F
08/07 04:43, , 9F
你用了htmlspecialchars還要在解回來本身就是個問題
08/07 04:43, 9F
08/07 04:44, , 10F
光只是防inject還不夠,要連XSS一起防吧?
08/07 04:44, 10F
08/07 04:44, , 11F
算了當我什麼都沒說吧
08/07 04:44, 11F
08/07 13:57, , 12F
Cgcheng 抱歉因為我測到這函數 full_special_chars
08/07 13:57, 12F
08/07 14:00, , 13F
感覺跟htmlspecialchars很類似而且我一直解不回來所以沒PO
08/07 14:00, 13F
08/07 14:02, , 14F
使用心得 目前是用htmlspecialchars 外加自己過濾一些
08/07 14:02, 14F
08/07 14:07, , 15F
還是很謝謝Cgcheng 不吝賜教
08/07 14:07, 15F
更多 phreat 的文章
文章代碼(AID): #1EEJESaQ (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 phreat 的文章
文章代碼(AID): #1EEJESaQ (PHP)