我知道这个问题已经被问了一遍又一遍，但我仍然没有找到我喜欢的完美答案，所以这里再次...我已经阅读了很多关于CI的xss_filter的两极分化评论。基本上大多数人都说这不好。有人可以详细说明它有多糟糕，或者至少给出1个最可能被利用的场景吗？我查看了CI2.1中的安全类，我认为它非常好，因为它不允许恶意字符串，如document.cookie、document.write等。如果该站点基本上没有html表示，那么在插入到数据库之前使用全局xss_filter是否安全(或者如果它真的对性能影响那么大，请在每个表单发布的基础上使用它)？我一直在阅读关于是否在输入/输出上转义的利弊，大多数人

这是易受攻击的代码确保清除进入目标的讨厌的东西的适当方法是什么？ 最佳答案 首先，这是一个漏洞OWASP将其归类为“未验证的重定向和转发”。参见OWASP'sguideformoreinformation.一些有趣的攻击是可能的。参见thisthreadonsla.ckers.orgforideas关于如何滥用它。您如何保护自己？验证URL的方案。您通常只想支持http和https。中止任何其他方案的请求。解析URL，并提取域。只允许重定向到已知的域列表。对于其他域，中止请求。就是这样。

$this->input->post('问题',TRUE)即使我添加TRUE，它仍然允许人们添加html代码。这是为什么？ 最佳答案 xss_clean()函数不会删除所有HTML，它会删除/替换被认为是危险的特定内容，例如。标签。http://codeigniter.com/user_guide/libraries/security.htmlTheXSSfilterlooksforcommonlyusedtechniquestotriggerJavascriptorothertypesofcodethatattempttohija

htmlentities是防止PHP中的XSS的最佳解决方案吗？我还想允许像b、i、a和img这样的简单标签。实现这一点的最佳解决方案是什么？我确实考虑过bbcode，但发现如果没有正确实现，我也会遇到XSS问题。我应该怎么办？欢迎任何优秀的第三方库。编辑:我刚刚尝试了HTMLPurifier，但在这种情况下失败了。Justseethisexample 最佳答案 为此，我会选择HTMLPurifier，是的，您也可以在那里指定白名单标签。HTMLPurifierisastandards-compliantHTMLfilterlibr

我有一个用于生成jpeg和png格式的二维码的代码，但还想在PHP中生成带有背景图像的svg二维码。我正在使用qrlib.php生成jpeg和png格式。 最佳答案 QRlib.php也支持SVG，不是吗？https://github.com/t0k4rt/phpqrcoderequire_once(__DIR__.'/phpqrcode-master/qrlib.php');echoQRcode::svg('hello'); 关于php-如何生成带图像的SVG二维码？，我们在Stack

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以便用事实和引用来回答。关闭6年前。Improvethisquestion谁能推荐一个可以生成和解码二维码的PHP库(如果存在的话)？这似乎可以完成工作:http://code.google.com/p/zxing/但它是在Java中。如果我必须使用ZXing，如何使它在PHP中运行？

你好，我们正在使用imagick进行不同的图像处理，并请求添加二维码水印在最后。现在我只能找到PHPQRCodelibrary它使用GD2库:ImplementedpurelyinPHP,noexternaldependenciesexceptGD2是否有使用imagick创建QR码的php片段或库？ 最佳答案 查看PHPQRCode库，只有一个文件(我认为)访问GD库:qrimage.php。因此，将该文件更改为通过imagick输出并使用其余的PHPQR代码。下面是我编写的用于替换qrimage.php的可能的imagick输出

我有两个二维数组，想使用第二个数组过滤第一个数组的数据，以便唯一保留的元素是第一级和第二级中的键匹配的位置。$array1=['a1'=>['a_name'=>'aaaaa','a_value'=>'aaa'],'b1'=>['b_name'=>'bbbbb','b_value'=>'bbb'],'c1'=>['c_name'=>'ccccc','c_value'=>'ccc'],];$array2=['b1'=>['b_name'=>'doesnotmatter'],];换句话说，我想要$array1和$array2的键的交集。结果必须来自$array1。期望的结果:['b1'=>[

$address和$cityState是用户提供的，存储在数据库中，可供其他人查看，如下所示。有没有风险XSS？htmlspecialchars()也应该用在上面吗？&zoom=14&size=400x400&sensor=false"alt="Map"/> 最佳答案 是的，还应该使用htmlspecialchars-您首先将URL编码为URL安全的，然后将其构建到HTML属性中，该属性“需要”HTML-风格转义。在使用这两种编码后，不再可能在您的秤端注入(inject)任意代码，因此如果仍有任何风险，他们将

我必须处理以前的开发人员留下的旧网络应用程序。它使用addslashes()来防止HTML属性上的XSS。这是一个例子:";?>这是否容易受到XSS攻击？javascript是否可以像在src属性中那样在value属性中运行，例如src='javascript:alert(99)'。还是可以打破value属性，然后插入script标签？编辑:感谢Quentin，我相信它很脆弱。 最佳答案 Isaddslashes()safetopreventXSSinaHTMLattribute?这是非常无效的。Isthisvulnerableto