Sollte ich sowohl striptags () als auch htmlspecialchars () verwenden, um XSS zu verhindern?

8

Kommt es darauf an, ob die Eingabe für den Benutzer gedruckt wird? In meinem Fall muss ich die Eingabe zurück an den Benutzer (Kommentare und Bio) zurückgeben.

Danke !!!

    
KRB 29.08.2011, 16:16
quelle

1 Antwort

18

htmlspecialchars() reicht aus, um XSS zu verhindern.

Strip-Tags entfernen Tags, aber keine Sonderzeichen wie " oder ' . Wenn Sie also strip_tags() verwenden, haben Sie auch um htmlspecialchars() zu verwenden.

Wenn Benutzerkommentare so angezeigt werden sollen, wie sie eingegeben wurden, verwenden Sie keine strip_tags, sondern nur htmlspecialchars ().

    
arnaud576875 29.08.2011, 16:17
quelle

Tags und Links

Django: Verwenden von Annotate, Count und Distinct in einem Queryset Entity-Framework-Abfrage gibt dieselbe Zeile mehrmals zurück