当前位置：文江博客话题详情

转义数据 - stripslashes、strip_tags

发布于 2024-09-30 12:15:39 字数 138 浏览 5 评论 0原文

为什么很多人在字符串上使用这两个函数？我看到很多 stripslashes(strip_tags($field)); （或相反）

strip_tags 不足以过滤任何 xss 之类的东西吗？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

躲猫猫 2024-10-07 12:15:40

我注意到 strip_tags() 添加反斜杠来引用字符。我检查过，magic_quotes_gpc 没有打开。 OP最初的问题是为什么有些编码员用 stripslashes() 包围 strip_tags() ，这就是我这样做的原因，因为我不希望数据库存储双反斜杠，因为无论如何在将数据保存到数据库之前我已经准备好了数据。

回复收藏 0 原文

誰ツ都不明白 2024-10-07 12:15:39

转义数据与 strip_tags 或 stripslashes 无关。这些函数从字符串中过滤掉某些字符，而“转义”则对某些字符进行编码，这样它们就不会被浏览器或数据库解释。

您可以使用 strip_tags 删除从浏览器发送到 PHP 的字符串中的 HTML 标记。更好的是，如果您使用 htmlspecialchars 来转义任何可能在将数据发送回时分隔标记的字符，则您还可以安全地存储相同的数据，而无需通过 strip_tags 传递它。浏览器。

stripslashes 从字符串中删除斜杠，并且您只需如果启用“魔术引号”，则需要担心它。这是早期的遗留问题，当时 PHP 开发人员天真地认为来自浏览器的每一条数据都注定要进入数据库，并且不能相信开发人员能够自行逃离数据库。

回复收藏 0 原文

月亮坠入山谷 2024-10-07 12:15:39

strip_tags 不足以过滤任何 xss 之类的东西吗？

没有。过滤 XSS 内容的唯一安全方法是 htmlspecialchars()，尽管我看到许多建议另外使用 strip_tags()。

请参阅此问题中的讨论：正在防止 XSS SQL 注入就这么简单...

stripslashes 在这种情况下应该做什么，我不知道。这可能是试图消除现已弃用的魔法引号的影响功能 - 但在没有首先检查该特定功能是否启用的情况下，决不应该应用此功能。

回复收藏 0 原文

[旋木] 2024-10-07 12:15:39

当启用魔术引号时，它将自动转义所有 POST、GET 等变量中的引号。 stripslashes 在使用数据之前删除它们。剥离标签尝试删除所有 html 标签。

回复收藏 0 原文

过去的过去 2024-10-07 12:15:39

strip_tags() 通常不足以单独防止 XSS 攻击，因此最好谨慎行事。

请考虑以下事项：

$str = "' onclick='javascript:alert(0);' alt='";
echo "<a href='". strip_tags($str) ."'></a>";
// output is <a href='' onclick='javascript:alert(0);' alt=''></a>

并不总是需要 HTML 标签来执行 XSS 攻击。这可能是一种效率较低的攻击，但它仍然是一个潜在的攻击媒介。

strip_tags() usually isn't enough to prevent XSS attacks on it's own, so it's best to err on the side of caution.

Consider the following:

$str = "' onclick='javascript:alert(0);' alt='";
echo "<a href='". strip_tags($str) ."'></a>";
// output is <a href='' onclick='javascript:alert(0);' alt=''></a>

One doesn't always need HTML tags to execute an XSS attack. It may be a less effective attack, but it's still a potential attack vector nonetheless.

回复收藏 0 原文

~没有更多了~