【发布时间】:2014-01-31 22:06:42
【问题描述】:
我正在使用 nodejs 开发一个 Web 应用程序,并且需要转义输出。我还清理了所有输入并删除了所有 script 和 /script 标签以及它们之间的所有代码。 应该转义输出的哪些部分,是否有任何模块?
【问题讨论】:
标签: javascript node.js escaping sanitization
【发布时间】:2014-01-31 22:06:42
【问题描述】:
在大多数情况下,您实际上不应该针对特定情况清理输入。尝试在未消毒的情况下存储它(不要剥离任何东西),然后在输出内容时进行。
这样,您始终可以将提交的数据用于任何其他形式的呈现,而不仅仅是 HTML。如果用户提交<,则不应存储<。此外,在清理输出时,您 100% 确定它已完成。
【讨论】:
-
没错。只要确保您不使用原始字符串查询您的数据库。请改用准备好的语句。 (如果这适用于您)