0

白名单涉及哪些输入以防止 html 和 xss 注入?

从我收集到的带有正则表达式的 preg_replace 是一个好的开始。还有什么?

4

1 回答 1

0

清理输出比清理输入更容易。每次数据从一个上下文传递到下一个上下文时应用正确的转义。例如,在将数据传递到数据库时应用mysqli_real_escape_string(如果您使用的是 MySQLi 扩展),在将数据输出为 HTML 时应用htmlspecialchars等等。

于 2012-07-15T11:13:03.953 回答