我已配置PHP,以便打开魔术引号,并关闭全局寄存器。
我尽我所能一直为从用户输入派生的任何输出调用htmlentities()。
我有时也会在数据库中查找xss附带的常见信息,例如…
<script
我还应该做些什么,以及如何确保自己 一直 想做的事情 始终 完成。
为了成功防止XSS,逃避输入并不是最好的选择。输出也必须转义。如果您使用Smarty模板引擎,则可以使用|escape:'htmlall'修饰符将所有敏感字符转换为HTML实体(我使用自己的|e修饰符,这是上面的别名)。
|escape:'htmlall'
|e
我输入/输出安全性的方法是: