我正在使用一个Web应用程序,允许用户在目录中输入项目的简短描述.我允许在我的文本区域中使用Markdown,因此用户可以执行一些
HTML格式.
我的文本消毒功能将所有标签从任何输入的文本中插入数据库之前将其删除:
public function sanitizeText($string,$allowedTags = "") { $string = strip_tags($string,$allowedTags); if(get_magic_quotes_gpc()) { return MysqL_real_escape_string(stripslashes($string)); } else { return MysqL_real_escape_string($string); } }
基本上,我正在存储在数据库中的是Markdown – 不允许其他的HTML,甚至是“基本的HTML”(像SO这样).
允许降价存在任何安全威胁?即使没有标签,可以使用XSSed
我认为从输入中删除任何HTML标签可以让你的东西更安全 – 除非有人找到一种方法来将一些真正搞乱的数据注入Markdown,使其产生更多的混乱输出^^
不过,这里有两件我想到的事情:
第一个:strip_tags不是一个奇迹功能:它有一些缺陷…
例如,它将在“<”之后剥离所有的东西,在这样的情况下:
$str = "10 appels is <than 12 apples"; var_dump(strip_tags($str));
我得到的输出是:
string '10 appels is ' (length=13)
哪个不太适合你的用户:-(
第二个:有一天或另一天,你可能希望允许一些HTML标签/属性;或者,即使在今天,您也可能想确保Markdown不会生成一些HTML标签/属性.
您可能会喜欢像HTMLPurifier这样的东西:它允许您指定应保留哪些标签和属性,并对字符串进行过滤,以便只保留这些标签和属性.