php – Markdown(with strip_tags)是否足以阻止XSS攻击?

前端之家收集整理的这篇文章主要介绍了php – Markdown(with strip_tags)是否足以阻止XSS攻击?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用一个Web应用程序,允许用户在目录中输入项目的简短描述.我允许在我的文本区域中使用Markdown,因此用户可以执行一些 HTML格式.

我的文本消毒功能将所有标签从任何输入的文本中插入数据库之前将其删除

public function sanitizeText($string,$allowedTags = "") {
    $string = strip_tags($string,$allowedTags);

    if(get_magic_quotes_gpc()) {
        return MysqL_real_escape_string(stripslashes($string));
    } else {
        return MysqL_real_escape_string($string);
    }
}

基本上,我正在存储在数据库中的是Markdown – 不允许其他的HTML,甚至是“基本的HTML”(像SO这样).

允许降价存在任何安全威胁?即使没有标签,可以使用XSSed

我认为从输入中删除任何HTML标签可以让你的东西更安全 – 除非有人找到一种方法来将一些真正搞乱的数据注入Markdown,使其产生更多的混乱输出^^

不过,这里有两件我想到的事情:

第一个:strip_tags不是一个奇迹功能:它有一些缺陷…
例如,它将在“<”之后剥离所有的东西,在这样的情况下:

$str = "10 appels is <than 12 apples";
var_dump(strip_tags($str));

我得到的输出是:

string '10 appels is ' (length=13)

哪个不太适合你的用户:-(

第二个:有一天或另一天,你可能希望允许一些HTML标签/属性;或者,即使在今天,您也可能想确保Markdown不会生成一些HTML标签/属性.

您可能会喜欢像HTMLPurifier这样的东西:它允许您指定应保留哪些标签属性,并对字符串进行过滤,以便只保留这些标签属性.

它还生成有效的HTML代码 – 这总是很好;-)

猜你在找的PHP相关文章