我在这个问题上搜索了每个网站,包括stackoverflow。我在全局范围内启用了XSS,只有少数页面使用了TinyMCE。在这些页面上,我希望TinyMCE部分不启用XSS。读了大约40页后,他们都说要做以下事情:$tiny_mce=$this->input->post('note');//xssfilteringoff或$tiny_mce=$this->input->post('note',FALSE);//xssfilteringoff我都试过了,这是我的模型:publicfunctionedit($id){$tiny_mce=$this->input->post('note')
关闭。这个问题需要更多focused.它目前不接受答案。想改进这个问题吗?更新问题,使其只关注一个问题editingthispost.关闭2年前。Improvethisquestion我找到了manyXSSattacks的“数据库”虽然此列表提供了相当大的攻击列表,但还有没有属于XML的其他攻击,需要注意什么和最意想不到的?
我想向一个函数传递一个字符串,该字符串将该字符串附加到url上。然后转到该url,然后将页面返回到我的服务器,以便我可以使用JS对其进行操作。任何想法将不胜感激。干杯。 最佳答案 如果启用了fopen_wrappers,则可以使用file_get_contents()检索页面,然后将JavaScript插入到内容中,然后再将其作为输出回显。$content=file_get_contents('http://example.com/page.html');if($content!==FALSE){//addyourJSinto$co
我正在尝试对来自WYSIWYG(CK编辑器)的用户输入运行HTMLPurifier,但图像已损坏。未过滤的输入:使用默认设置运行净化器后:我试过更改配置设置;但我永远不会保留src。有什么想法吗? 最佳答案 我怀疑magic_quotes可能是一个原因..?您是否也尝试过$config->set('Core.RemoveInvalidImg',true);。您使用的是哪个版本?(尝试旧的或更新的) 关于php-HTMLPurifier破坏图像,我们在StackOverflow上找到一个类
我有一个表单,用户可以在其中填写新闻文章。这包含标题和正文。对于每个页面都有一个唯一的标题,我在中使用用户输入(标题)-标签:$userinput我想知道-用户是否可以通过这种方式执行XSS攻击?我应该使用htmlspecialchars转义此用户输入吗??这同样适用于。-标签。我正在使用用户输入的描述:用户可以在中执行XSS攻击吗?和-标签? 最佳答案 ShouldIescapethisuserinputusinghtmlspecialchars?是的。位置无关紧要。应转义所有用户输入。引用资料:Whatarethebestpra
我是新手,我要说清楚。我听到很多关于转义数据以防止XSS攻击的说法。我该怎么做?这就是我目前正在做的-$s=mysqli_real_escape_string($connect,$_POST['name']));这就够了吗?谢谢 最佳答案 如果你将数据输出到html你应该使用htmlspecialchars()否则,如果您将数据存储在数据库中,您应该使用mysqli_real_escape_string()和castnumbers转义strings(或对两者都使用准备好的语句)并通过基于白名单的过滤whem保护标识符/操作符。如果您
好的,我有一些用户输入,我做了一个echostr_replace('我想知道,无论如何用户是否可以破坏此过滤器?最初我认为这个脚本非常安全,但在阅读了一些关于php、字符集和安全性的文章后我开始怀疑它的健壮性。 最佳答案 这取决于输入的最终位置。例如,如果在某个时候你最终得到了一个像这样构造的(糟糕的)模板......">alink然后有人可以通过简单地使用以下输入来注入(inject)代码:javascript:do_whatever()即使输出通常不会回显到href字段中,像这样..."href="http://www.goog
我一直在'洒水'htmlentities($user_input,ENT_QUOTES,'UTF-8')在我的整个View中,我到处回显用户有机会在我的应用中输入的数据。这非常乏味,我想知道在我的Controller中使用HTMLPurifier是否可以安全地替代使用htmlentities在每个echo在View上。例如,我注意到HTMLPurifier会单独尝试关闭一个打开的而不是删除它,所以如果一些聪明人把他的名字输入为Johnny和我echo在我看来,它破坏了我的整个布局。但如果我改用htmlentities我一个人得到Johnny并且我的布局被保留。所以我想知道这是否是HTM
此代码是否安全以防止XSS攻击??helloworld!";echo"withoutfiltering:".$string;echo"";$filtered=htmlspecialchars($string);//insertintodatabasefilteredecho"Afterfiltering:".$filtered;echo"";$de_filtering=htmlspecialchars_decode($filtered);//retrievefromdatabaseanddisplayecho"Afterde-filtering:".$de_filtering;?>
以这种方式在登录或注册类中调用__construct()是否安全:function__construct(PDO$DBH,$_POST['1'],$_POST['2']){$this->_user=$_POST['1'];$this->_pass=$_POST['2'];$this->_DBH=$DBH;}我想稍后在这个类中清理用户输入,我不确定我的代码是否适合SQL注入(inject)或XSS,因为类是用原始POST输入构造的? 最佳答案 如果您知道您清理/使用准备好的语句(即原始POST数据未按原样插入查询),那么这样做很好。事
