因此,使用白名单/黑名单字符不是一种选择.
我并不担心(覆盖它)关于数据库端(sql注入),而是我的页面中的代码注入.
是否有任何情况下htmlspecialchars()不足以阻止代码注入?
解决方法:
将用户文本插入单引号属性时,纯htmlspecialchars是不够的.在这种情况下,您需要添加ENT_QUOTES,并且需要传递编码.
<tag attr='<?PHP echo htmlspecialchars($usertext);?>'> //dangerous if ENT_QUOTES is not used
将用户文本作为字符串插入javascript / json时,您需要额外的转义.
我认为它也不适用于stange字符集.但是,如果您使用通常的字符集UTF-8,latin1,…它将按预期工作.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
