Задать вопрос
littleguga
@littleguga
Не стыдно не знать, а стыдно не интересоваться.

Правилен ли ход мыслей?

Есть поле(допустим комментарий на сайте), он может содержать html код и должен быть выведен, как html код. Достаточным будет обернуть вывод этого поля в теги <code></code> или нет, для защиты от XSS?

Заранее благодарен за ответ!
  • Вопрос задан
  • 292 просмотра
Подписаться Оценить Комментировать
Решения вопроса 1
kawabanga
@kawabanga
Недостаточно. Проверьте сами, введя вот такой код у себя на сайте:
<div class="comment1" > <script>  alert();</script> </div>


используйте эту библиотеку - htmlpurifier.org , она достаточно простая.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
alektive
@alektive
Любая нормальная CMS проверяет входные данные, особенно комментарии пользователей. Есть стандартные функции в PHP, позволяющие переводить символы "/<:;{ итд в unicode.

P.S Как говорил мой препод - "Пиши программу так, чтобы дурак её случайно не сломал."
Ответ написан
FanatPHP
@FanatPHP
Чебуратор тега РНР
Если у тебя не используется пользовательский ввод, то и защищаться ни от чего не надо.
Если используется, и HTML запрещен, то htmlspecialchars()
Если используется, но HTML разрешен - то htmlpurifier.org
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы