php. Защищаемся от xss
Самый простой способ — разрешать пользователю вводить только определенный набор символов. К примеру только символы алфавита и цифры.
Например:
1 |
Но такой способ не всегда подходит. Если мы разрешаем пользователю использовать почти все символы, то второе самое простое решение — замена символов (например в слове javascript).
Но и тут сложность. Предусмотреть все варианты замены символов и новые способы взлома при помощи xss не всегда возможно. Тут и пригодится библиотека HTML Purifier.
HTML Purifier удалит не только враждебный код, но также и позволяет очистить html код, т.е. привести его к стандарту.
Использование:
1 2 3 4 5 | <? require_once 'htmlpurifier/library/HTMLPurifier.auto.php'; $purifier = new HTMLPurifier(); ... $text= $purifier->purify( $text ); |
Официальный сайт проекта — . Последнее обновление от 15 Сентября 2010.
Популярность: 1%
Оставить комментарий