Вопросы Теги

Очистка PHP XSS

Вопросы:

Каковы лучшие функции safe1 (), safe2 (), safe3 () и safe4 (), чтобы избежать XSS для страниц с кодировкой UTF8? Безопасно ли это во всех браузерах (особенно в IE6)?

.

Многие люди говорят, что лучшее, что можно сделать, это: 

// safe1 & safe2
$s = htmlentities($s, ENT_QUOTES, "UTF-8");

// But how would you compare the above to:
//    https://github.com/shadowhand/purifier
// OR http://kohanaframework.org/3.0/guide/api/Security#xss_clean
// OR is there an even better if not perfect solution?

. 

// safe3
$s = mb_convert_encoding($s, "UTF-8", "UTF-8");
$s = htmlentities($s, ENT_QUOTES, "UTF-8");

// How would you compare this to using using mysql_real_escape_string($s)?
// (Yes, I know this is a DB function)
// Some other people also recommend calling json_encode() before passing to htmlentities
// What's the best solution?

.

Есть чертовски много сообщения о PHP и XSS. и функции safe4 (), чтобы избежать XSS для страниц с кодировкой UTF8? Это также безопасно во всех браузерах (особенно в IE6)?

php echo ...

Вопросы:

Каковы лучшие функции safe1 (), safe2 (), safe3 () и safe4 (), чтобы избежать XSS для страниц с кодировкой UTF8? Безопасно ли это во всех браузерах (особенно в IE6)?

.

Многие люди говорят, что лучшее, что можно сделать, это: 

// safe1 & safe2
$s = htmlentities($s, ENT_QUOTES, "UTF-8");

// But how would you compare the above to:
//    https://github.com/shadowhand/purifier
// OR http://kohanaframework.org/3.0/guide/api/Security#xss_clean
// OR is there an even better if not perfect solution?

. 

// safe3
$s = mb_convert_encoding($s, "UTF-8", "UTF-8");
$s = htmlentities($s, ENT_QUOTES, "UTF-8");

// How would you compare this to using using mysql_real_escape_string($s)?
// (Yes, I know this is a DB function)
// Some other people also recommend calling json_encode() before passing to htmlentities
// What's the best solution?

.

Есть чертовски много сообщения о PHP и XSS. и функции safe4 (), чтобы избежать XSS для страниц с кодировкой UTF8? Это также безопасно во всех браузерах (особенно в IE6)?

php echo ...

Вопросы:

Каковы лучшие функции safe1 (), safe2 (), safe3 () и safe4 (), чтобы избежать XSS для страниц с кодировкой UTF8? Безопасно ли это во всех браузерах (особенно в IE6)?

.

Многие люди говорят, что лучшее, что можно сделать, это: 

// safe1 & safe2
$s = htmlentities($s, ENT_QUOTES, "UTF-8");

// But how would you compare the above to:
//    https://github.com/shadowhand/purifier
// OR http://kohanaframework.org/3.0/guide/api/Security#xss_clean
// OR is there an even better if not perfect solution?

. 

// safe3
$s = mb_convert_encoding($s, "UTF-8", "UTF-8");
$s = htmlentities($s, ENT_QUOTES, "UTF-8");

// How would you compare this to using using mysql_real_escape_string($s)?
// (Yes, I know this is a DB function)
// Some other people also recommend calling json_encode() before passing to htmlentities
// What's the best solution?

.

Есть чертовски много сообщения о PHP и XSS. Большинство просто говорят «используйте HTMLPurifier» или «используйте htmlspecialchars», или ошибаются. Другие говорят, что используют OWASP, но он ОЧЕНЬ медленный. Некоторые из хороших сообщений, которые я обнаружил, перечислены ниже:

Защищают ли htmlspecialchars и mysql_real_escape_string мой PHP-код от внедрения?

XSS Me Warnings - реальные проблемы XSS?

CodeIgniter - зачем использовать xss_clean

7
задан Community 23 May 2017 в 12:00
поделиться