Я разрабатываю веб -приложение, которое принимает пользовательский ввод через формы и отображает его на различных страницах. Я обеспокоен атаками сценариев поперечного сайта (XSS) и хочу реализовать надлежащие меры безопасности. Я понимаю, что это основная уязвимость безопасности. Должен ли я использовать проверку ввода, кодирование вывода или оба? Существуют ли конкретные функции PHP или библиотеки, которые рекомендуются для этой цели? />
Код: Выделить всё
echo htmlspecialchars($_POST['user_comment'], ENT_QUOTES, 'UTF-8');
< /code>
Я ожидал, что это предотвратит атаки XSS путем преобразования специальных символов в HTML -сущности. Тем не менее, я все еще обеспокоен тем, является ли этот подход достаточно полным.echo strip_tags($_POST['user_comment']);
Но я понял, что это может быть слишком агрессивным, и может удалить законное содержание, которое пользователи хотят включить.
Я ожидал>
Подробнее здесь:
https://stackoverflow.com/questions/797 ... plications
Мобильная версия