如何防范XSS攻击

WBOY
发布: 2016-06-23 13:21:13
原创
1381 人浏览过

各位大神们,我的留言评价功能,不能防范 '><script>alert(document.cookie)</script>
='><script>alert(document.cookie)</script>
等这类代码的攻击,但是我看CSDN论坛就没关系,该怎么做才能像论坛一样不怕这类字符的攻击啊?

如果实在没办法,我如果仅接受中英文(大小写)、数字,标点符号等写普通文章会用到 的字符,该怎么写代码呢?

谢谢!


回复讨论(解决方案)

提交评论时使用htmlspecialchars函数过滤一下

可以使用PDO啊~~

哥,恕我愚钝。如果我是这样的代码结构:
$bid=$_POST['bid']
...
$sql= insert into “abc”(‘bid’)values ($bid) ....

....


我是怎么用过滤呢?例如我提交的 input name=bid,htmlspecialchars 函数是怎么用呢?
另外,我学习了一下,这个函数是干嘛的?http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp上面说把预定义的字符转换为 HTML 实体。我看字符没变化呀?这是什么道理?
& (和号)成为 &
" (双引号)成为 "
' (单引号)成为 '
> (大于)成为 >

还有,如果转换了,我的理解是在数据库显示的转换了,那为什么显示在页面上又是原来用户输入的样式和内容呢?是不是还要解个码什么的?

相关标签:
来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板