如何防止XSS和CSS注入？ [关闭]

I've made a function to deal with CSS and XSS injecting but its still getting through.

Someone said the following to me, but I'm not sure what it means:

On your sanitize_input function, do a strip_tags to strip all html tags that may have been added through the form. Read php.net on strip_tags.

Here's my code:

private function sanitizeInput() {
    foreach($_POST as &$post) {
        $post = $this -> db -> real_escape_string($post);
    }
}

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
doutu4335 2013-06-04 19:14
关注
The code you have makes your input safe to insert into a database. However, what is safe for a database may not be safe for HTML.

Typically, you shoud use that function to insert the data, and when you retrieve it later you run it through something like htmlspecialchars before outputting it. However, do NOT do this before saving the data, only do it at the final output stage.

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

HTML Purifier - 如何知道是否找到了XSS注入？ php xss
2015-08-06 13:48

回答 1 已采纳 Nope, HTML Purifier doesn't support this use-case.
我还能做些什么来阻止自己进行XSS注入和SQL注入？ mysql php xss
2010-08-15 08:41

回答 2 已采纳 I think this covers me from sql injection? Correct? No. It makes a terrible mess of your data
php XSS攻击后该怎么办？ php xss
2016-02-09 10:34

回答 1 已采纳 Ok, so wanted to share an update and close this. Here is what I did to overcome my server injectio
PHP如何防止XSS攻击与XSS攻击原理的讲解
2021-01-02 10:50

XSS又称CSS，全称Cross SiteScript(跨站脚本攻击)， XSS攻击类似于SQL注入攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入...
XSS和file_get_contents？ php xss
2015-03-06 20:49

回答 1 已采纳 Yes, looks secure enough, but still not perfect. You also need to call is_file() and ensure it ret
关于论坛系统的防止XSS攻击的问题 vue.js xss 前端
2023-04-19 18:41

回答 3 已采纳首先，XSS攻击（Cross-Site Scripting）是一种常见的Web安全漏洞，攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞，在网页中注入恶意脚本，以达到攻击目的。在前端方面，
如何在我的功能中防止XSS攻击？ php xss
2011-08-25 13:15

回答 4 已采纳 Try using prepared statements. They are designed to automatically escape things. They should also
mysql防止xss攻击_预防XSs和sql注入常见分析
2021-01-28 08:27

飒飒是也的博客 SQL注入简介SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户...
如何使用PHP防止URL表单字段中的HTML注入？ php xss
2010-10-28 00:30

回答 5 已采纳 When receiving the URL on the form: Use filter_var(url, FILTER_VALIDATE_URL) to ensure the URL i
XSS和CSRF有哪些相同点，xss和csrf如何打组合拳？ javascript web安全有问必答网络安全
2022-10-11 19:24

回答 4 已采纳共同点为：将一些隐私数据像 cookie、session 发送给攻击者，将受害者重定向到一个由攻击者控制的网站，在受害者的机器上进行一些恶意操作。
转义的快捷方式以防止XSS html php xss
2015-03-11 07:44

回答 1 已采纳 No, there is no shortcut. Data escaping always needs to happen on a case by case basis; not only w
PHP 安全：如何防止PHP中的XSS？
2024-04-24 05:00

新华的博客本文旨在深入探讨 XSS 攻击的主要形式，阐明其根本原因，探索 XSS 利用的潜在后果，并深入了解防止 PHP 中 XSS 攻击的有效措施。当恶意行为者成功将有害脚本插入受信任的网站时，就会发生跨站脚本（XSS）攻击。这些...
关于X-FORWARDED-FOR注入XSS攻击的问题 web安全 xss 有问必答
2021-12-27 15:24

回答 1 已采纳这种只能手工测试，或者你用绿盟的极光试试
在 PHP Web 应用程序中防止 XSS 的最佳实践
2022-07-24 09:54

allway2的博客跨站点脚本创建的风险比您预期的要高，因为它不仅允许攻击者获取用户数据和信息，这是许多其他漏洞在此攻击中旨在实现的使用XSS有一个附加功能攻击者在网站上犯下这些罪行，在用户看来，这些网站应该是完全值得信赖...
php 避免xss_thinkphp中防止xss攻击的方法
2021-03-22 22:19

大圣南佳境的博客 ● XSS(跨站脚本攻击)可以用于窃取其他用户的Cookie信息，要避免此类问题，可以采用如下解决方案：直接过滤所有的JavaScript脚本；转义Html元字符，使用htmlentities、htmlspecialchars等函数；系统的扩展函数库提供...
没有解决我的问题, 去提问

悬赏问题

¥15 c语言怎么用printf（“\b \b”）与getch（）实现黑框里写入与删除？
¥20 怎么用dlib库的算法识别小麦病虫害
¥15 华为ensp模拟器中S5700交换机在配置过程中老是反复重启
¥15 java写代码遇到问题，求帮助
¥15 uniapp uview http 如何实现统一的请求异常信息提示？
¥15 有了解d3和topogram.js库的吗？有偿请教
¥100 任意维数的K均值聚类
¥15 stamps做sbas-insar，时序沉降图怎么画
¥15 买了个传感器，根据商家发的代码和步骤使用但是代码报错了不会改，有没有人可以看看
¥15 关于#Java#的问题，如何解决？

如何防止XSS和CSS注入？ [关闭]

3条回答 默认 最新

悬赏问题

3条回答默认最新