dongshaidu2456 2015-01-03 03:18
浏览 85
已采纳

我应该XSS过滤所有输入数据吗?

I have a script that returns POST data if it exists, like this:

public function post($key){
    if(isset($_POST[$key])){
            return $_POST[$key];
        }else{
            return false;
    }
}

// Will return false if index doesn't exist
echo $this->class->post("key");

I was wondering if it is recommended to filter everything in that function (using a XSS library such as htmlpurifier) if the index exists? I have a function which does the exact same for get requests too.

Thanks,

Peter

  • 写回答

2条回答 默认 最新

  • 普通网友 2015-01-03 03:33
    关注

    It should work for making your application very secure, as no user input (besides the user editable $_FILE, $_SERVER) would be susceptible to XSS unless there was a glitch in your library. However, it may adversely affect your servers performance if many people are attempting to access your application. I would write a better function like this:

    public function post($key, $validate = true){
    if(isset($_POST[$key])){
            if($validate===true) {
            return validate($_POST[$key]);
            } else {
            return $_POST[$key]
        }else{
            return false;
    }
}

    That way you can choose which post variables you want to validate. It reduces the overall security of your application, but if you use it correctly, you can minimize the impact.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • php实现XSS安全过滤的方法
    2020-10-23 21:01
    为了避免这种情况,开发者需要对用户的输入数据进行XSS安全过滤,以确保输出到浏览器的内容是安全的。 在实施XSS安全过滤的过程中,有几个关键步骤需要注意: 1. 清除非法字符:首先需要移除用户输入中的非法字符...
  • php 字符过滤类,用于过滤各类用户输入数据
    2020-10-29 22:49
    其中$blackstr用于存储所有需要被过滤掉的字符或字符串,而$whitestr则用于存储允许保留的字符或字符串。$filtit方法是Filter类的抽象方法,具体过滤逻辑将在子类中实现。 接着,我们定义了几个具体的过滤类,每个...
  • php中filter函数验证、过滤用户输入数据
    2020-10-26 10:04
    由于Web应用经常需要处理来自用户输入数据,如表单提交、URL参数等,这些数据很可能包含恶意代码或者不符合预期格式,因此需要通过过滤和验证来确保数据的安全性和正确性。PHP内置了filter扩展,提供了一系列过滤...
  • php处理xss攻击过滤.rar
    2023-01-18 17:14
    标题“php处理xss攻击过滤.rar”表明,这个压缩包提供了一个PHP助手类,专门用于处理和过滤可能含有XSS攻击的输入数据。这个助手类方法可以有效地减少Web应用程序遭受XSS攻击的风险。 描述中提到,这个工具包含示例...
  • php xss过滤器,Xss过滤器如何配置?Xss过滤器配置方法
    2021-05-08 17:26
    l鲁波波的博客 本篇文章给大家带来的内容是关于Xss过滤器如何配置?Xss过滤器配置方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。1.XSS是什么?跨站脚本(cross site script)简称为XSS,是一种经常出现在web...
  • php 参数过滤数据过滤详解
    2020-10-23 10:41
    正则表达式是用于定义搜索模式的工具,它在过滤过程中用来识别恶意的输入数据。例如,下面的代码片段展示了如何构建正则表达式来识别SQL注入等攻击尝试: ```php $getfilter = "'|(and|or)\\b.+?(>|<|=|in|like)|\\...
  • 整理php防注入和XSS攻击通用过滤
    2020-12-19 12:43
    对网站发动XSS攻击的方式有很多种,仅仅使用...1. 假定所有的用户输入数据都是“邪恶”的 2. 弱类型的脚本语言必须保证类型和期望的一致 3. 考虑周全的正则表达式 4. strip_tags、htmlspecialchars 这类函数很好用
  • phpXSS防范及脚本过滤
    2023-12-27 15:06
    五六碗瓶的博客 输出编码:在展示用户输入数据时,使用适当的编码方式来防止XSS攻击。可以使用htmlspecialchars()函数或其他相关的编码函数来编码输出的内容。然而,要注意的是,没有一种方法是绝对安全的,应该综合使用多种防范...
  • php过滤XSS攻击的函数
    2020-10-26 17:18
    以下是一个名为`RemoveXSS`的函数,用于过滤用户输入,以确保其不受XSS攻击影响。该函数通过移除输入中的非打印字符、限制脚本和事件处理器关键字的使用,来减少XSS攻击的风险。 函数`RemoveXSS`首先通过正则表达式...
  • php过滤输入操作之htmlentities与htmlspecialchars用法分析
    2020-10-20 09:30
    在Web开发中,对于用户输入数据进行过滤是一项非常重要的安全措施。尤其是在PHP编程中,数据过滤操作尤为重要,可以帮助我们防止跨站脚本攻击(XSS),这是一种常见的网络攻击技术,攻击者通过注入恶意脚本到受...
  • 没有解决我的问题, 去提问