我需要你的帮助来解决一个非常简单的问题。我网站的某些页面的内容存储在MySQL数据库中,我在输出到浏览器时对其应用 了htmlspecialchars(),但实际上有合法<img src="images/me.jpg">
的,它们呈现为纯文本,同时它们应该是有效的图片部分文章内容。
如何成功显示图像,同时避免可能的 XSS 攻击等。
谢谢
我需要你的帮助来解决一个非常简单的问题。我网站的某些页面的内容存储在MySQL数据库中,我在输出到浏览器时对其应用 了htmlspecialchars(),但实际上有合法<img src="images/me.jpg">
的,它们呈现为纯文本,同时它们应该是有效的图片部分文章内容。
如何成功显示图像,同时避免可能的 XSS 攻击等。
谢谢
常见的方法是不使用 HTML,而是使用您自己的格式化语言,如 bbcode 或 Markdown。这样,您可以轻松地将格式转换为 HTML,同时避免让用户输入他们想要的任何 HTML。
使用HTMLPurifier - 它将删除任何脚本,包括放置在标签属性中的 javascript,同时保留(并且还形成良好的)HTML 代码