如何避免php站点的xss注入攻击
来源:luqidong
发布时间:2014-03-25 19:43:05
点击数:
转义输入不是最好的,你可以成功的XSS预防做。输出也必须进行转义。如果您使用的Smarty模板引擎,你可以使用|逃避:“htmlall'修饰符所有敏感字
符转换为HTML实体(我用自己|网上修饰符是别名以上)。
我的方法,对输入/输出的安全性:
存储用户输入不会被修改(没有HTML转义输入,只有DB感知转义通过PDO做准备语句)
逃跑的输出,这取决于你用什么输出格式(例如HTML和JSON需要不同的转义规则)