我正在学习逃避的事情,并开始阅读由于XSS攻击而使用$_SERVER [‘HTTP_HOST’]会有多大风险.
我想出了这个,并想知道我是否可以得到一些关于我的尝试的反馈.
htmlspecialchars(
filter_var( $_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL ),
ENT_QUOTES, 'UTF-8'
)
看起来好吗?
这么多取决于这个变量是安全的,我只需要求输入.
编辑:
我将在整个网站上使用它进行显示,包括基本的锚点hrefs,表单动作等.
解决方法:
不同的转义函数应该用于不同的情况,例如:
> urlencode表示将在< a>中的查询字符串中删除的项目标签,即. echo’< a href =“index.PHP?foo ='.urlencode($foo).'”>‘; (另见http_build_query)
> mysql_real_escape_string变量进入sql语句(虽然我更喜欢绑定变量)
> htmlentities表示您想要显示给用户的字符串,其中可能包含HTML(另请参阅strip_tags)
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
