2010-04-16 2 views

Respuesta

-1

htmlspecialchars()

+0

me di cuenta de que también impidió alerta; ('prueba de ataque XSS') desde ejecutarse, entonces debe estar haciendo algo – newbie

+0

Eso hará que los caracteres Unicode sean ilegibles (п => п) –

11

La seguridad no es un producto. Es un proceso.

Si confías en una biblioteca por seguridad, estás condenado a ser atacado una vez u otra.

De todos modos, se puede desinfectar sus entradas con funciones estándar de PHP (es decir htmlspecialchars())

+0

bien Lo agregué a la entrada que se imprimirá en la página, ¿esto evitará todos los ataques XSS o al menos la mayoría de ellos? – newbie

+0

Le sugiero que lea en XSS. Debes entender cómo funciona para protegerse contra eso. – Marius

+0

Sé lo que es XSS – newbie

4

Existen muchas funciones PHP que pueden ayudarlo a prevenir ataques XSS. Echar un vistazo a los siguientes:

strip_tags

http://php.net/manual/en/function.strip-tags.php

htmlspecialchars

http://php.net/manual/en/function.htmlspecialchars.php

+0

htmlentities es mejor eliminarlo de la lista. ya que esta función es obsoleta y sucia –

+0

Tal torrente de funcionalidad sucia que es difícil mantenerse al día con lo que realmente se puede usar en PHP. – Finbarr

+0

Um, ¿qué? htmlentities está vivo y coleando, y generalmente es preferible a htmlspecialchars http://php.net/manual/en/function.htmlentities.php – Kzqai

Cuestiones relacionadas