如何完全防止PHP中的xss攻击?这假设我不关心任何HTML标签或其他格式。仅运行strip_tags并使其完全安全是否足够?
答案 0 :(得分:4)
对于清除HTML页面上输出的用户输入,htmlspecialchars()和strip_tags()都被认为是安全的。
相关:
答案 1 :(得分:0)
最简单的方法是简单地阻止任何用户输入HTML标记。如果您对strip_tags()或htmlspecialchars()所有用户输入,则无法引入<script>标记。
如果你想允许有限的标记,那么你可以使用类似bbcode的语法(找到一个PHP库来做这个应该不难,虽然我自己从来没有这样做过所以没有任何建议前面),或者您可以使用HTMLpurifier来限制允许用户输入的标记。