html および xss インジェクションを防止するための入力のホワイトリストには何が含まれますか?
私が収集したものから、正規表現を使用した preg_replace は良いスタートです。ほかに何か?
1 に答える
0
入力よりも出力をサニタイズする方が簡単です。データがあるコンテキストから次のコンテキストに渡されるたびに、正しいエスケープを適用します。たとえば、データがデータベースに渡されるときにmysqli_real_escape_stringを適用し (MySQLi 拡張機能を使用している場合)、データを HTML として出力するときにhtmlspecialcharsを適用します。
于 2012-07-15T11:13:03.953 に答える