HTMLPurifier是干什么用的?
HTMLPurifier是干什么用的?
提问于 2012-02-11 22:07:39
我到底用它做什么?这真的是我要防止XSS攻击所需要的全部吗?有谁能解释一下htmlspecialchars、mysql_real_escape_string、htmlpurifier和其他注射防御方式的区别吗?HTMLPurifier是否防御JS攻击?
回答 1
Stack Overflow用户
发布于 2012-02-11 22:35:15
在典型的用例中,您不希望允许任何HTML。在这种情况下,您可以剥离标记等,但仅仅这样做并不能保护您免受XSS (或SQL注入等)的影响。
在不需要HTML的情况下,可以使用htmlspecialchars或类似的方法来转义输出,以防止XSS。在这种情况下,还可以使用SQL转义来防止SQL注入。
通常情况下,简单地删除所有标记并始终使用htmlspecialchars更容易。
当您绝对必须允许HTML时,这就是HTMLPurifier的意义所在。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/9244461
复制相关文章
相似问题
腾讯云开发者
