功能 RemoveXSS - 调整以允许连字符或空格?

【问题标题】:function RemoveXSS - tweak to allow hyphens or spaces?功能 RemoveXSS - 调整以允许连字符或空格?
【发布时间】:2011-11-19 08:33:14
【问题描述】:

我编码的网站应用了一项功能,可以防止所有不可打印的字符。 http://pastebin.com/FemaR8s0

【问题讨论】:

  • 你的问题太宽泛了。顺便说一句,这不是这项工作的最佳功能。它也不打算清理名称字段。它也不会删除空格或连字符。 print removeXSS("name -field"); 输出 name -field。所以至少你可能不得不重新解释你对 name 字段的含义。

标签: php xss filtering antixsslibrary


【解决方案1】:

停止使用手工制作的 XSS/SQL 注入过滤器。这个功能是一个等待发生的意外。将其替换为HTML Purifier,您会更加安全,并且适当地使用连字符和空格也可以正常工作。

【讨论】:

  • 我没有放这个函数,之前是一个脚本编写者在网站上工作,但他们不在atm周围,所以我有点茫然,真的.. . 我喜欢一些关于什么会更好的指示,我一定会检查净化器。非常感谢,很抱歉如此含糊,只是那个功能似乎是唯一可能干扰角色出现的东西......
  • @user1054798 我知道不是你写的——你是一个被置于雷区的维护者。我只是指出其中一个地雷和绕过它的方法。
  • 感谢有关 HTML 净化器的信息,我一定会向网站所有者提出它 :D 另外,我刚刚检查了另一个代码,并且有一个 $trim(strip_tags) 函数,我假设这是不允许连字符等的那个? html 净化器网站说不要使用条形标签,我想,但我将如何去替换它们呢?对于所有这些问题,我真的很抱歉,如果它真的很明显,我只是试探性的,只要我不完全了解一些事情......感谢迄今为止的所有帮助!
猜你喜欢
  • 1970-01-01
  • 2021-08-21
  • 1970-01-01
  • 2013-09-17
  • 1970-01-01
  • 2016-08-22
  • 1970-01-01
  • 2016-03-24
  • 2013-08-09
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode