保护 HTML 表单免受 Javascript/攻击

Question

我有一个表单，现在您可以输入任何您想要的 javascript 等。任何 XSS 等。

我如何创建白名单，以便您只能发布字符。

在某些时候，我希望以 http:// 开头的任何内容都转换为

< /code>

谢谢

这有效吗？ http://htmlpurifier.org/

Answer 1

首选 jQuery 或 Javascript

好吧，不，你不能这样做，你明白吗？因为即使您使用 javascript“清理”数据，也没有人可以阻止任何人

• 使用浏览器的开发者控制台关闭 javascript，
• 直接处理
• 进行 POST 的数据，而无需浏览器。

换句话说，您必须执行验证/清理服务器端。 JavaScript 验证可以增强用户的体验（例如，通过对无效输入提供即时反馈）。

Answer 2

但是，在许多高负载应用程序中，开发人员部分使用客户端验证（但所有输入都必须准备好写入数据库）。

由于您将使用 PHP，我建议您使用 htmlspecialchars()、mysql_real_escape_string() 等解析 $_POST 值。

您必须使用正则表达式将任何以“http://”开头的内容转换为链接（当然，您也可以使用explode('.', $_POST['yourInput'])，这对您来说更容易）。