用户输入 & 符号字符搞乱了我的网站 w3c 验证

Question

我的社交网站是 w3c xhtml 有效的，但是用户可以发布博客报告和内容，有时会输入 & 符号，这反过来又会扰乱我的验证。我该如何解决这个问题，是否还有其他我需要注意的单个字符可能会扰乱我的验证？

Answer 1

显示用户生成的内容时，通过 htmlspecialchars() 函数运行它。

Answer 2

作为一般原则，在不进行验证或过滤的情况下直接将用户提交的（或实际上任何外部的）内容包含到页面中是错误的。除了导致验证错误之外，它还可能导致“损坏的页面”和大的安全漏洞（跨站点脚本攻击）。

每当您从非 100% 可信的任何地方获取数据时，您都需要以某种方式确保其安全。您可以通过执行部分或全部操作来实现此目的：

1. 转义文本数据，以便将特殊字符替换为表示它们的 HTML 实体。
2. 剥离或过滤不安全的 HTML 标记。
3. 验证 HTML 不包含任何不安全或非法结构。

如果您的用户输入旨在被解释为文本，那么您主要会考虑选项 1；如果您让用户使用 HTML，那么您将考虑选项 2 和 3。第四个选项是让用户使用一些限制性更强的非 HTML 标记，例如 Markdown 或 bbCode，使用（希望）该库不允许注入安全漏洞、分页结构或其他可怕的东西。

Answer 3

允许用户输入 HTML 标记不是一个好主意。

这使得各种令人讨厌的事情成为可能，最明显的是跨站点脚本（XSS）漏洞和隐藏垃圾邮件的注入（对您隐藏，而不是对搜索引擎机器人隐藏）。

您应该：

• 使用 htmlspecialchars() 删除所有 HTML 标记，并仅使用 nl2br() 保留换行符。您可以通过实现自己的安全标记来允许某些格式，该安全标记仅允许非常具体的标记（例如 phpBB 或类似 Wiki 的标记）。

• 使用HTML Purifier可靠地消除所有潜在危险的标记。 PHP 的 strip_tags() 函数从根本上被破坏，如果使用白名单参数，则允许在属性中包含危险代码。