Maison  >  Questions et réponses  >  le corps du texte

网络安全 - php 只通过 filter 过滤用户输入,是否足够安全?

应用的场景就是用户可以输入任意文本,但是不能输入类似html这样的代码

在php 中可以通过 FILTER_SANITIZE_STRING 去过滤用户输入

过滤之后的内容是不是足够安全了呢,还用作其他的比如针对xss过滤吗

高洛峰高洛峰2768 Il y a quelques jours725

répondre à tous(1)je répondrai

  • 天蓬老师

    天蓬老师2017-04-10 14:26:53

    标题里面提到了 足够安全 ... 关键就是看你怎么理解这个足够了 ...

    对于 XSS ... XSS 的全称是 Cross-site Scripting ... 关键点在 Scripting ...

    如果你用了 FILTER_SANITIZE_STRING ... 肯定就不存在被 XSS 的风险了 ...

    但这样并不能说就是在任何地方都完全安全 ... 其他的风险依然存在 ...

    比如说这样的内容在不经处理之前不能直接写进 SQL 语句里面 ...

    以及还要看你如何把用户输入的内容显示出来 ...

    如果用户输入的内容有可能合法的出现在 script 标签内 ... 也必须要进行额外的处理 ...

    répondre
    0
  • Annulerrépondre