Điều này đã được hỏi trước nhưng tôi cần 100% rõ ràng về vấn đề này vì điều rất quan trọng đối với tôi là phải làm đúng.Câu hỏi/Làm rõ PHP XSS
Tình huống: Hệ thống tin nhắn trên trang web. Người dùng nhập một tin nhắn vào một hộp văn bản, họ gửi biểu mẫu và nó được nhập vào cơ sở dữ liệu. Dữ liệu này sau đó có thể được gọi từ cơ sở dữ liệu và được hiển thị trong các thẻ <span>
cho người dùng khác.
Tôi cần thực hiện các thủ tục bảo mật nào để ngăn chặn dữ liệu này độc hại? Tôi đã sử dụng mysql_real_escape_string để ngăn chặn bất kỳ tiêm và strip_tags có vẻ hữu ích nhưng tôi đã nghe rất nhiều tên khác được đề cập. Tôi cần sử dụng những gì để bảo vệ dữ liệu này vì nó chỉ được hiển thị trong các thẻ <span>
?
Cảm ơn bạn.
bản sao có thể có của [PHP: Làm thế nào để ngăn chặn hoàn toàn các cuộc tấn công XSS?] (Http://stackoverflow.com/questions/5934063/php-how-to-totally-prevent-xss-attacks) –
Chỉ cần làm rõ, tôi 'm đánh dấu điều này như là một bản sao không phải vì nó là một câu hỏi xấu (nó không phải!) - Mọi người nên được điều này siêng năng –
Điểm mấu chốt ở đây là luôn luôn khử trùng bất kỳ người dùng cung cấp dữ liệu không có vấn đề làm thế nào không đáng kể. – Jrod