htmlspecialchars vs htmlentities 当与 XSS 有关时
我看到很多关于这个问题的相互矛盾的答案。许多人喜欢引用php函数本身并不能保护你免受xss的侵害。
究竟什么XSS可以通过htmlspecialchars,什么可以通过htmlentities?
我了解功能之间的区别,但不了解您剩下的不同级别的xss保护。谁能解释一下?
答案 1
htmlspecialchars() 不会保护您免受 UTF-7 XSS 漏洞的攻击,即使在 IE 9 中,这些漏洞仍然困扰着 Internet Explorer:http://securethoughts.com/2009/05/exploiting-ie8-utf-7-xss-vulnerability-using-local-redirection/
例如:
<?php
$_GET['password'] = 'asdf&ddddd"fancy˝quotes˝';
echo htmlspecialchars($_GET['password'], ENT_COMPAT | ENT_HTML401, 'UTF-8') . "\n";
// Output: asdf&ddddd"fancyË
echo htmlentities($_GET['password'], ENT_COMPAT | ENT_HTML401, 'UTF-8') . "\n";
// Output: asdf&ddddd"fancyËquotes
您应该始终使用 htmlentities,并且在清理用户输入时很少使用 htmlspecialchars。因此,您应该始终在之前剥离标签。对于真正重要和安全的网站,你永远不应该相信strip_tags()。使用 HTMLPurifier for PHP。
答案 2
如果 PHP 的 header 命令用于设置字符集
header('Content-Type: text/html; charset=utf-8');
那么htmlspecialchars和htmlentities对于HTML的输出应该是安全的,因为XSS不能使用UTF-7编码来实现。
请注意,这些函数不应用于将值输出到 JavaScript 或 CSS 中,因为可以输入使 JavaScript 或 CSS 能够转义并使您的网站面临风险的字符。请参阅 XSS 预防备忘单,了解如何正确处理这些情况。
推荐
-
相当于Java中PHP的crypt函数 我正在将我的PHP代码迁移到Google App Engine - Java。因此,我需要一个相当于Java中PHP的crypt函数,因为我已将使用crypt的注册用户的所有密码存储在我的数据库中。 编辑1:这是我用于加密密码的php
-
需要有关如何从接受语言请求标头获取首选语言的示例 我需要一个代码示例或库来解析标头并返回我的首选语言。 指出: “接受语言请求标头”字段类似于“接受”,但限制首选作为请求响应的自然语言集。语言标记在第 3.10 节中定义。
-
无法在 Java 和 PHP 之间交换使用 AES-256 加密的数据 我的问题是:我在Java中加密的东西,我可以在Java中完全解密,但PHP不能解密。我用加密的内容可以使用 解密,但不能在 Java 中解密。 我想从Java应用程序发送和接收加密数据到PHP页面,所以我
-
-
Quercus是Java环境中PHP的可行替代品吗? 对于任何偶然发现这个问题的人,他们不知道是什么 - 它是用Java完成的PHP的实现。 对于我目前正在从事的项目,我们通过cgi在servlet上提供php页面(我知道它很笨拙,但这是支持遗留代码的要求
标签