输出用户输入 - 阻止xss

I have an admin section within my site where items can be stored. Once they are stored, they are displayed on the front end. Part of my display involves code like the following:

echo "<p>".$rose['description']."</p>";

Does this need to have htmlspecialchars included into it to protect from xss at a low level?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
douyaosi3164 2012-04-13 08:31
关注
Yes of course, you should always santize user input before outputting it back to prevent XSS attacks. remember that you should sanitize user input before outputting it and not before saving it to the db, because you don't always need to output html

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

输出用户输入 - 阻止xss php xss
2012-04-13 08:05

回答 1 已采纳 Yes of course, you should always santize user input before outputting it back to prevent XSS attac
在用户输入后输出SESSION - 防止xss php xss
2012-04-11 22:15

回答 2 已采纳 The function htmlspecialchars does not encode single quotation(') by default, if your user name ec
关于X-FORWARDED-FOR注入XSS攻击的问题 web安全 xss 有问必答
2021-12-27 15:24

回答 1 已采纳这种只能手工测试，或者你用绿盟的极光试试
PHP XSS攻击防范--如何过滤用户输入
2016-12-27 15:40

loophome的博客 XSS攻击是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。来看一个简单的例子： <?php $slogan_type = isset($_GET['...
beef-xss打不开 apache linux php
2023-03-08 23:03

回答 2 已采纳不知道你这个问题是否已经解决, 如果还没有解决的话: 给你找了一篇非常好的博客，你可以看看是否有帮助，链接：BeEF-XSS实验手记如果你已经解决了该问题, 非常希望你能够分享一下解决方案, 写成博客
php XSS攻击后该怎么办？ php xss
2016-02-09 10:34

回答 1 已采纳 Ok, so wanted to share an update and close this. Here is what I did to overcome my server injectio
html值属性中的htmlspecalchars是否足以阻止xss？ html php xss
2014-10-17 09:33

回答 1 已采纳 Assuming you're using a modern version of php, htmlspecialchars should do the trick. It's importa
burp靶场--xss上篇【1-15】
2024-01-29 14:50

0rch1d的博客这可能允许攻击者窃取敏感信息，例如用户登录凭据，或执行其他恶意操作。XSS 攻击主要有 3 种类型：反射型 XSS：在反射型 XSS 攻击中，恶意代码嵌入到发送给受害者的链接中。当受害者点击链接时，代码就会在他们的...
PHP漏洞（XSS，...）>用户输入/ url注入何时实际上会造成伤害？ php xss
2015-02-06 11:50

回答 2 已采纳 It depends on what you're going to do with that file. The username field can pass something that w
我应该XSS过滤所有输入数据吗？ php xss
2015-01-03 03:18

回答 2 已采纳 It should work for making your application very secure, as no user input (besides the user editabl
[a-zA-Z] +会删除任何xss攻击的机会吗？ php xss
2013-10-08 23:32

回答 1 已采纳 There's 2 sides to this question. First off: yes of course, if there's no way to 'break out of co
【网络安全 --- XSS绕过】xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧
2023-10-18 15:55

傻猫A的博客【网络安全 --- XSS绕过】xss绕过手法及思路你了解吗?常见及常用的绕过手法了解一下吧；你知道xss如何绕过吗?本篇讲述了一些xss常见的绕过手法及技巧，包括双写，大小写绕过，编码绕过等，过来看看吧
HTML Purifier - 如何知道是否找到了XSS注入？ php xss
2015-08-06 13:48

回答 1 已采纳 Nope, HTML Purifier doesn't support this use-case.
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
2022-07-11 07:34

「已注销」的博客客户端的 cookie 服务端的 session JavaScript 操作 cookie 脚本注入网页 xss 获得 cookie 发送邮件 xss 靶场练习 xss 平台搭建 xss 检测和利用 xss 防御方法 xss 闯关游戏 OWASP TOP 10(二)XSS漏洞(概述、PoC、分类...
渗透测试 ( 0 ) --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
2022-06-12 23:00

擒贼先擒王的博客渗透测试 --- http协议、XSS、CSRF、文件上传、文件包含、反序列化漏洞
没有解决我的问题, 去提问

悬赏问题

¥15 phython如何实现以下功能？查找同一用户名的消费金额合并—
¥15 孟德尔随机化怎样画共定位分析图
¥18 模拟电路问题解答有偿速度
¥15 CST仿真别人的模型结果仿真结果S参数完全不对
¥15 误删注册表文件致win10无法开启
¥15 请问在阿里云服务器中怎么利用数据库制作网站
¥60 ESP32怎么烧录自启动程序
¥50 html2canvas超出滚动条不显示
¥15 java业务性能问题求解(sql，业务设计相关)
¥15 52810 尾椎c三个a 写蓝牙地址

输出用户输入 - 阻止xss

1条回答 默认 最新

悬赏问题

1条回答默认最新