如何防範XSS攻擊

來源:互聯網
上載者:User
各位大神們,我的留言評價功能,不能防範 '>
='>
等這類代碼的攻擊,但是我看CSDN論壇就沒關係,該怎麼做才能像論壇一樣不怕這類字元的攻擊啊?

如果實在沒辦法,我如果僅接受中英文(大小寫)、數字,標點符號等寫普通文章會用到 的字元,該怎麼寫代碼呢?

謝謝!


回複討論(解決方案)

提交評論時使用htmlspecialchars函數過濾一下

可以使用PDO啊~~

哥,恕我愚鈍。如果我是這樣的代碼結構:
$bid=$_POST['bid']
...
$sql= insert into “abc”(‘bid’)values ($bid) ....



我是怎麼用過濾呢?例如我提交的 input name=bid,htmlspecialchars 函數是怎麼用呢?
另外,我學習了一下,這個函數是幹嘛的?http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp上面說把預定義的字元轉換為 HTML 實體。我看字元沒變化呀?這是什麼道理?
& (和號)成為 &
" (雙引號)成為 "
' (單引號)成為 '
< (小於)成為 <
> (大於)成為 >

還有,如果轉換了,我的理解是在資料庫顯示的轉換了,那為什麼顯示在頁面上又是原來使用者輸入的樣式和內容呢?是不是還要解個碼什麼的?

  • 聯繫我們

    該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

    如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

    A Free Trial That Lets You Build Big!

    Start building with 50+ products and up to 12 months usage for Elastic Compute Service

    • Sales Support

      1 on 1 presale consultation

    • After-Sales Support

      24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.