Web アプリケーションの基本的なセキュリティ層を構築中です。私が行っている手順の検証を求めています。現在の焦点は XSS であるため、この投稿ではデータベースには触れません。これは私がこれまでに行ったことです:
- htmlspecialchars() すべてのユーザー入力
- 特定のキーワードをブラックリストに登録 {"","","text/javascript"} : preg_replace を使用して、代わりにこれらの単語を "" でサブしています。
- すべての動的コンテンツをエスケープして出力します。
これらはすべて、非常に些細なセキュリティ レイヤーのように見えます。誰でもより良い戦略を推奨できますか?