dongshaidu2456 2015-01-03 03:18
浏览 85
已采纳

我应该XSS过滤所有输入数据吗?

I have a script that returns POST data if it exists, like this:

public function post($key){
    if(isset($_POST[$key])){
            return $_POST[$key];
        }else{
            return false;
    }
}

// Will return false if index doesn't exist
echo $this->class->post("key");

I was wondering if it is recommended to filter everything in that function (using a XSS library such as htmlpurifier) if the index exists? I have a function which does the exact same for get requests too.

Thanks,

Peter

  • 写回答

2条回答 默认 最新

  • 普通网友 2015-01-03 03:33
    关注

    It should work for making your application very secure, as no user input (besides the user editable $_FILE, $_SERVER) would be susceptible to XSS unless there was a glitch in your library. However, it may adversely affect your servers performance if many people are attempting to access your application. I would write a better function like this:

    public function post($key, $validate = true){
    if(isset($_POST[$key])){
            if($validate===true) {
            return validate($_POST[$key]);
            } else {
            return $_POST[$key]
        }else{
            return false;
    }
}

    That way you can choose which post variables you want to validate. It reduces the overall security of your application, but if you use it correctly, you can minimize the impact.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • 下面的xss漏洞应该插在哪? web安全 有问必答 网络安全
    2022-10-18 09:51
    回答 2 已采纳 a参数存在xss注入漏洞将网址中a参数改为payload中值就会弹出1 http://www.sdd.com/?c=index&a=%3Cscript%3Ealert(1)%3C/script%3E
  • 如何设计一个xss过滤 java xss
    2023-03-06 17:25
    回答 2 已采纳 满足要求的XSS过滤器,可以采取以下步骤: 首先,定义一个过滤器类,该类包含一个过滤方法,用于接受需要过滤输入字符串,然后返回已过滤的字符串。在过滤方法中,首先将输入字符串转换为小写字母,以防止大小
  • php XSS攻击后该怎么办? php xss
    2016-02-09 10:34
    回答 1 已采纳 Ok, so wanted to share an update and close this. Here is what I did to overcome my server injectio
  • php实现XSS安全过滤的方法
    2020-10-23 21:01
    为了避免这种情况,开发者需要对用户的输入数据进行XSS安全过滤,以确保输出到浏览器的内容是安全的。 在实施XSS安全过滤的过程中,有几个关键步骤需要注意: 1. 清除非法字符:首先需要移除用户输入中的非法字符...
  • XSS过滤了关键字符如何绕过 其他 测试用例
    2021-05-11 15:19
    回答 1 已采纳 黑了他们网站就好了。。
  • XSS可以用handontable而不用PHP吗? javascript php xss
    2013-05-14 03:30
    回答 1 已采纳 Well the question is, can a visitor alter the content in a way that another visitor will load some
  • 应该使用php htmlentities()与pdo过滤输入和输出转义? php xss
    2011-05-10 03:45
    回答 2 已采纳 Use htmlentities (or preferably htmlspecialchars) when outputting user supplied content in an HTML
  • php 字符过滤类,用于过滤各类用户输入数据
    2020-10-29 22:49
    其中$blackstr用于存储所有需要被过滤掉的字符或字符串,而$whitestr则用于存储允许保留的字符或字符串。$filtit方法是Filter类的抽象方法,具体过滤逻辑将在子类中实现。 接着,我们定义了几个具体的过滤类,每个...
  • 有人知道这是什么原因吗?xss linux
    2023-03-08 15:50
    回答 2 已采纳 此错误消息通常表示 BeEF-XSS Web 服务器未运行或工作不正常。要解决问题,您可以尝试以下步骤: 检查BeEF-XSS服务是否运行:打开终端,输入命令“systemctl status b
  • 为什么我这个xss不运行 javascript xss 前端
    2022-09-19 20:45
    回答 3 已采纳 设置dom的innerHTML,里面的js代码并不会执行,虽然是蓝色的,vue的xss注入一般通过v-html绑定富文本,但是包含script不会执行改为dom事件,比如img的onerror事件来自
  • 怎么用小皮面板搭建xss平台? php web安全
    2022-01-23 21:51
    回答 1 已采纳 可以确定的是搭建是肯定可以的。自定义域名、根目录就是项目代码根目录,然后可以看你的xss平台搭建要求,创建数据库,比如是否是自定义创建数据库等,具体的我没安过。他这有安装教程https://blog.
  • php中filter函数验证、过滤用户输入数据
    2020-10-26 10:04
    由于Web应用经常需要处理来自用户输入数据,如表单提交、URL参数等,这些数据很可能包含恶意代码或者不符合预期格式,因此需要通过过滤和验证来确保数据的安全性和正确性。PHP内置了filter扩展,提供了一系列过滤...
  • php处理xss攻击过滤.rar
    2023-01-18 17:14
    标题“php处理xss攻击过滤.rar”表明,这个压缩包提供了一个PHP助手类,专门用于处理和过滤可能含有XSS攻击的输入数据。这个助手类方法可以有效地减少Web应用程序遭受XSS攻击的风险。 描述中提到,这个工具包含示例...
  • php 参数过滤数据过滤详解
    2020-10-23 10:41
    正则表达式是用于定义搜索模式的工具,它在过滤过程中用来识别恶意的输入数据。例如,下面的代码片段展示了如何构建正则表达式来识别SQL注入等攻击尝试: ```php $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\...
  • 整理php防注入和XSS攻击通用过滤
    2020-12-19 12:43
    对网站发动XSS攻击的方式有很多种,仅仅使用...1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则表达式 4. strip_tags、htmlspecialchars 这类函数很好用
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 DS18B20内部ADC模数转换器
  • ¥15 做个有关计算的小程序
  • ¥15 MPI读取tif文件无法正常给各进程分配路径
  • ¥15 如何用MATLAB实现以下三个公式(有相互嵌套)
  • ¥30 关于#算法#的问题:运用EViews第九版本进行一系列计量经济学的时间数列数据回归分析预测问题 求各位帮我解答一下
  • ¥15 setInterval 页面闪烁,怎么解决
  • ¥15 如何让企业微信机器人实现消息汇总整合
  • ¥50 关于#ui#的问题:做yolov8的ui界面出现的问题
  • ¥15 如何用Python爬取各高校教师公开的教育和工作经历
  • ¥15 TLE9879QXA40 电机驱动