Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
白名单涉及哪些输入以防止 html 和 xss 注入?
从我收集到的带有正则表达式的 preg_replace 是一个好的开始。还有什么?
清理输出比清理输入更容易。每次数据从一个上下文传递到下一个上下文时应用正确的转义。例如,在将数据传递到数据库时应用mysqli_real_escape_string(如果您使用的是 MySQLi 扩展),在将数据输出为 HTML 时应用htmlspecialchars等等。