php含有html标签的内容需要过滤吗?

像发表文章的时候,通过编辑器获取的内容一般都有p、img等html标签,这样的内容不好用straip_tags来过滤。一般编辑器都会自动转义html标签,但攻击者可能会绕过编辑器,不知道这样的内容是否需要过滤,如果需要的话该怎样过滤呢?

php php安全


share
求福利不留名 8 years, 8 months ago

Answers

防御XSS攻击,最简单粗暴的做法就是用htmlspecialchars把特殊字符( &,",',<,> )替换为HTML实体( &"'<> )后输出.防御XSS攻击,最复杂的做法就是自己写正则过滤,不过还好有HTMLPurifier库,除了能过滤XSS代码,还能把不完整的标签补全或者去掉. 


 <?php
# http://htmlpurifier.org/download
require dirname(__FILE__).'/htmlpurifier/library/HTMLPurifier.auto.php';
$purifier = new HTMLPurifier();
echo $purifier->purify($html);

share
THE YAN answered 8 years, 8 months ago

Your Answer

Ask Question
Related questions

PHP如何安全地使用$_GET

为什么我把Apache和PHP都安装到了D磁盘,在phpinfo()里面却发现配置文件在c:\...

Discuz! x2.5网站被挂马,大家有见过这个logo吗?

如果允许用户输入URL应当注意什么?

PHP登录SSH到中兴交换机

如何高效的做数据覆盖操作