Задать вопрос
littleguga
@littleguga
Не стыдно не знать, а стыдно не интересоваться.
php

Правилен ли ход мыслей?

Есть поле(допустим комментарий на сайте), он может содержать html код и должен быть выведен, как html код. Достаточным будет обернуть вывод этого поля в теги <code></code> или нет, для защиты от XSS?

Заранее благодарен за ответ!
  • Вопрос задан
  • 292 просмотра
Комментировать
Подписаться Оценить Комментировать
Решения вопроса 1
kawabanga
@kawabanga
Недостаточно. Проверьте сами, введя вот такой код у себя на сайте: 
<div class="comment1" > <script>  alert();</script> </div>


используйте эту библиотеку - htmlpurifier.org , она достаточно простая.
Ответ написан
6 комментариев
6 комментариев
Пригласить эксперта
Ответы на вопрос 2
alektive
@alektive
Любая нормальная CMS проверяет входные данные, особенно комментарии пользователей. Есть стандартные функции в PHP, позволяющие переводить символы "/<:;{ итд в unicode.

P.S Как говорил мой препод - "Пиши программу так, чтобы дурак её случайно не сломал."
Ответ написан
3 комментария
3 комментария
FanatPHP
@FanatPHP
Чебуратор тега РНР
Если у тебя не используется пользовательский ввод, то и защищаться ни от чего не надо.
Если используется, и HTML запрещен, то htmlspecialchars()
Если используется, но HTML разрешен - то htmlpurifier.org
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
PHP-разработчик
Decart IT-production
от 260 000 до 340 000 ₽
Backend-разработчик PHP
Wanted. Москва
До 160 000 ₽
Разработчик PHP
Автомакон
от 206 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сверстать десктоп версию сайта в tailwind
22 нояб. 2024, в 06:06
1500 руб./в час
Создать TG бота
22 нояб. 2024, в 06:04
1 руб./за проект
Тестирование модуля ElasticSearch через ftp
22 нояб. 2024, в 03:54
1500 руб./за проект
Ещё заказы